Mines ParisTech CRYPTOGRAPHIE, THÉORIE DES NOMBRES ET INFORMATION QUANTIQUE. Pierre Rouchon

Transcription

1 Mines ParisTech CRYPTOGRAPHIE, THÉORIE DES NOMBRES ET INFORMATION QUANTIQUE Pierre Rouchon Enseignement spécialisé Décembre 01

2 Table des matières 1 Cryptographie classique Fonctions à sens unique Stockage des mots de passe Exponentielle modulaire Définition Le protocole de Diffie-Hellman Système d El Gamal Signature et DSS Le système RSA Grands nombres premiers Répartition Algorithme AKS Tests probabilistes Fabrication de grands nombres premiers Conclusion Complexité Introduction Classe P Classe NP Classe RP Fonctions à sens unique et la conjecture P NP... 3 Théorie des nombres 5.1 PGCD Z n et Z n Algorithme d Euclide Complexité de l algorithme d Euclide La fonction d Euler ϕ(n) Fermat et Euler Théorème chinois Déchiffrement RSA

3 TABLE DES MATIÈRES..4 Eléments primitifs Théorème de Lucas Fonctions génératrices La fonction zêta Répartition des nombres premiers Le théorème de la progression arithmétique Information et calculs quantiques Mécanique quantique Bra, Ket, états purs et états mixtes Opérateurs hermitiens, unitaires et équation différentielle de Schrödinger Mesures et réduction du paquet d ondes Systèmes composites et produit tensoriel Qubit et n-qubit Qubit : système à deux niveaux Matrices de Pauli n-qubit Complément : manipulation d un qubit Oscillateur harmonique Mesures généralisées et trajectoires quantiques La boite à photons du LKB Physique et modélisation simplifiées Réduction progressive du paquet d ondes et mesure quantique non destructive POVM et trajectoires quantiques Impossibilité du clonage Intrication Intrication et non-localité Inégalités de Bell et paradoxe EPR Téléportation quantique Cryptographie quantique Distribution de clés secrètes par BB Clés secrètes par partage d états intriqués Introduction au calcul quantique Portes et circuits logiques classiques Portes et circuits logiques quantiques Algorithme de Deutsch-Josza (199) Algorithme de recherche de Grover (1996) Bibliographie 96

4 TABLE DES MATIÈRES 3 A Système oscillant et moyennisation 97

5 4 ` TABLE DES MATIERES

6 Chapitre 1 Cryptographie classique Ce chapitre est une courte introduction à quelques aspects de la cryptographie. Pour un exposé plus détaillé nous renvoyons à l excellent cours de Gilles Zémor de l ENST [9]. La cryptographie moderne fondée sur les fonctions à sens unique commence en 1976 avec [14] où Diffie et Hellman proposent une solution à un problème considéré alors comme insoluble : Alice et Bob ne disposent pour communiquer que d une ligne de transmission écoutée en permanence par le méchant Oscar ; ils souhaitent cependant tous les deux communiquer de manière confidentielle. Ainsi ils doivent publiquement (c est à dire en présence du méchant Oscar) se mettre d accord sur un protocole de communication garantissant la confidentialité. Diffie et Hellman proposent une solution à ce problème en utilisant le fait qu Oscar n a qu une puissance finie de calcul. Ainsi cette solution n est pas valable que si Oscar dispose de moyen de calcul très puissant ou si Oscar a tout son temps Fonctions à sens unique Voici une définition assez imprécise de fonction à sens unique (on parle aussi de fonction di-symétrique). Cela n a pas beaucoup d importance pour l instant car nous allons voir des exemples par la suite qui permettront de mieux comprendre cette pseudo-définition. De plus, nous ne savons pas actuellement s il existe réellement des fonctions à sens unique. Nous verrons plus loin qu une telle existence entraînerait que P NP, conformément à ce que pense l immense majorité des spécialistes. 1. Nous supposons implicitement que Oscar ne peut pas se faire passer pour Alice auprès de Bob. Cela pose le problème de l authentification des échanges, authentification que l on peut aussi résoudre par des fonctions à sens unique (cf. signature). 5

7 6 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE Soit A n et B n deux ensembles finies indexés par n, avec #A n = n et f n une fonction de A n dans B n. On peut toujours supposer que A n et B n correspondent à des parties finies N et que A n s identifie aux entiers entre 1 et n. La notion de fonction à sens unique n a de sens que lorsque n tend vers l infini. Nous dirons que f n est à sens unique, si et seulement si, pour n devenant très grand 1. Il est facile de calculer f n (x) pour importe quel x A n ;. Il est difficile pour y f n (A n ) de trouver un x tel que f n (x) = y. Le point-1 veut dire qu il existe un algorithme rapide pour calculer f n (x), par rapide on veut dire nécessitant une quantité polynômiale de calculs en fonction du nombre de bits nécessaires pour coder x A n, à savoir log (n). Si on note C n (x) le nombre d opérations élémentaires nécessaires au calcul de f n (x), cela veut dire qu il existe M, α > 0 tels que pour tout n N, et pour tout x A n, C n (x) M(log n) α. Le point- veut simplement dire que l on ne connaît pas d algorithme rapide qui permette de résoudre f n (x) = y. Pour n grand, il est illusoire pour trouver un tel x d utiliser la méthode brutale en testant tous les x de A n via le calcul rapide de f n. En effet, le nombre d opérations élémentaires est alors de l ordre de Mn(log n) α c est à dire exponentiel en fonction de l espace mémoire nécessaire à l écriture des données, log (n). Pour les fonctions à sens unique usuelles, n est pris assez grand pour que le calcul de fn 1 soit impossible avec les moyens actuels. Typiquement, log (n) > 1000, i.e., n est un chiffre de quelques milliers de bits. Il est important de faire cette estimation une fois dans sa vie pour comprendre ce que signifie une complexité exponentielle. Prenons n = 18 et supposons que l évaluation de f n (x) prenne 1 seconde. Alors n évaluations de f n nécessiteront environ années de calcul. 1. Stockage des mots de passe Supposons que nous ayons à notre disposition une telle fonction f n et que nous ayons à stocker les mots de passe pour accéder à un ordinateur. L ensemble des mots de passe en clair (celui que l on tape dans le login ) constitue une partie de A n avec n bien plus grand que le nombre des utilisateurs disponibles. Au lieu de stocker les mots de passe en clair sur un fichier même protégé du compte system, il suffit de stocker dans un fichier l image des mots de passe via la fonction f n. Lorsque l on se connecte avec son mot de passe, disons π, la machine calcule f n (π) et vérifie s il est bien dans la liste qu elle a sur son disque dur. Nous voyons qu il est difficile même connaissant n, f n et la liste des images par f n des mots de passe, de remonter à ceux-ci.

8 1.3. EXPONENTIELLE MODULAIRE Exponentielle modulaire Il s agit de l exemple le plus simple et aussi très utilisé de fonction à sens unique. On l appelle aussi exponentielle modulo un nombre premier p ou encore exponentielle discrète. Son caractère di-symétrique vient du fait que l on ne connaît pas d algorithme rapide pour calculer le logarithme discret Définition Soit p un nombre premier, a priori grand. L ensemble Z p = (Z/pZ)\{0}, les entiers définis modulo p et différents de zéro, forme un groupe pour la multiplication. Tout entier x entre 1 et p 1 est premier avec p. L algorithme d Euclide calcule le pgcd et fournit en même temps les entiers u et v tels que ux + vp = 1 (identité de Bezout). Ainsi l inverse de x dans Z p est u car ux = 1 mod (p) et le calcul de x 1 dans Z p est facile. De plus Z p est un groupe cyclique : il est engendré par les puissances de certains de ses éléments, dits éléments primitifs. Supposons donc que l on connaisse l un d entre eux, noté α. Alors les gens s accordent pour dire que la fonction Z p Z p x f(x) = α x est à sens unique sans pour autant en avoir une preuve (cf. la définition en 1.1 avec n parcourant les nombres premiers). Pour calculer f(x), on écrit x en base : x = m i=0 a i i avec a i {0, 1} ce qui donne un algorithme avec au plus E((1 + log (p))) multiplications modulo p (E est la partie entière). Détaillons un peu cet algorithme d exponentiation rapide. Tout d abord les β i = α i s obtiennent par m multiplications : β 0 = α,, β 1 = (β 0 ), β = (β 1 ),..., β m = (β m 1 ). Avec au plus m multiplications supplémentaires on obtient α x car α x = β i. i a i =1 Il faut après chaque multiplication réduire son résultat modulo-p, si l on ne veut pas saturer la mémoire de l ordinateur. Nous avons en tout au plus m multiplications modulo-p et m log (p). Tous les algorithmes connus pour inverser cette fonction (le logarithme discret) nécessitent un temps de calcul non polynômial en log(p) et sont impraticables dès que p est un nombre de quelques centaines de bits.

9 8 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE Pourquoi donc prendre un nombre premier p et un élément primitif modulop. Tout d abord, p premier implique que tout entier non nul plus petit que p est inversible. Ensuite α primitif implique que l application f est bijective. Nous verrons plus loin comment fabriquer à la fois des grands nombres premiers p et un élément primitif α modulo-p. Nous avons maintenant tous les éléments pour comprendre le protocole de Diffie et Hellman, protocole permettant de partager un secret via un canal public (cf. le problème évoqué au tout début du chapitre) Le protocole de Diffie-Hellman Pour communiquer de façon confidentielle, Alice et Bob vont se mettre d accord sur un nombre secret S qui leur servira de clé à un système classique de chiffrement. Voici comment, en utilisant uniquement le canal public, ils vont procéder pour s échanger la clé secrète S. Alice et Bob se mettent d accord publiquement et en face du méchant Oscar sur un nombre premier p et un élément primitif α modulo-p. Ensuite, chacun dans son coin, de façon aléatoire et secrète, choisit un nombre entre 1 et p. Le nombre choisi par Alice est noté a et celui choisi par Bob, b. Alice et Bob calculent chacun une exponentielle (facile), A = α a mod (p) pour Alice et B = α b mod (p) pour Bob. Ce calcul fait, ils échangent publiquement et toujours devant le grand méchant Oscar A et B. Enfin leur secret sera S = α ab mod (p). En effet, Alice peut calculer S = B a mod (p) avec les informations dont elle dispose. Bob fait de même avec S = A b mod (p). Maintenant Oscar ne connaît que p, α, A et B. Il ne connaît pas a et b car ces données n ont pas été transmises sur le canal. On ne voit pas comment, il pourrait calculer S sans calculer un logarithme modulo-p. Nous voyons que l exponentielle est utilisée pour les deux propriétés suivantes : elle est facile à calculer et (α a ) b = (α b ) a Système d El Gamal Il s agit d introduire une di-symétrie dans le chiffrement et le déchiffrement. On considère toujours l exponentielle modulaire associée à un nombre premier p et un nombre primitif modulo-p, α. Le destinataire Bob dispose de deux clés : la clé secrète (un nombre s) avec laquelle il calcule P = α s mod (p) ; la clé publique (p, α, P ). Alice souhaite envoyer le message M (représenté par un entier M défini mod (p)) à Bob. Elle dispose de la clé (p, α, P ) que Bob lui a envoyée en clair et publiquement. Alice choisit alors un nombre k aléatoirement et calcule les

10 1.3. EXPONENTIELLE MODULAIRE 9 deux exponentielles suivantes : A = α k mod (p), B = MP k mod (p). Alice envoie alors à Bob A et B : (A, B) forme le message chiffré. Pour le décodage, Bob connaissant s, calcule A s mod (p) qui n est autre que P k mod (p) (commutation des exponentiations). Ainsi Bob obtient le message en clair d Alice par le calcul suivant : M = B/A s mod (p). On suppose maintenant que le méchant Oscar souhaite décoder le message (A, B) d Alice. Il ne dispose que de la clé publique (p, α, P ). On ne voit pas comment il pourrait faire sans passer par un calcul de logarithme. Un des avantages de cette méthode est que le même message M codé deux fois ne donne pas le même message codé (A, B) à cause de l aléa pour k. De plus, pour faire tous ces calculs, on n a pas besoin d avoir p premier et α primitif. Le seul point bloquant est le fait de pouvoir diviser par A s, c est à dire il faut s assurer que pour tout k et s, l élément α ks soit inversible modulo-p. Ce qui est le cas car α est primitif modulo p et donc inversible modulo p. De façon plus générale : pour faire ces calculs, il suffit uniquement que α et p soient premiers entre eux (p premier et α primitif modulo p sont des hypothèses très fortes). Cependant il faut choisir α et p pour que le logarithme soit difficile à calculer, ce qui n est pas encore prouvé Signature et DSS La version optimisée de ce qui suit est à la base de la norme américaine DSS (Digital Signature Standard) qui date de On ne souhaite plus que le message M qu envoie Alice à Bob soit confidentiel mais Bob souhaite avoir la garantie lorsqu il reçoit le message M que c est bien Alice qui le lui a envoyé et pas une autre personne. Pour cela Alice dispose d un nombre premier p et de α primitif modulo-p. Elle choisie un nombre s au hasard et une fois pour toute. Elle communique de façon officielle sa signature par le triplet rendu public et dont Bob sait qu il a été construit par Alice (p, α, P = α s ). Connaissant la signature l Alice, Bob reçoit un jour un message contenant M et il veut être bien sûr que c est Alice qui lui a envoyé ce message. Pour cela Alice rajoute à M deux nombres S = (u, v) qui authentifient le message et en forment une signature très difficile à imiter et en plus liée au contenu du message M. Ces nombres sont construits de la façon suivante : Alice choisit au hasard un nombre k premier avec p 1. Elle calcule ensuite u = α k mod (p) et alors v est l unique solution de M = us + kv mod (p 1) (k est inversible modulo-(p 1)).

11 10 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE Ainsi Bob recevant M avec la signature S = (u, v) connaissant (p, α, α s ) vérifie par une simple exponentiation que seule Alice peut avoir envoyé ce message. En effet, le calcul de α M donne α M = α us+kv+r(p 1) = (α s ) u (α k ) v mod (p) où r est un certain entier et utilisant le petit théorème de Fermat qui assure que α p 1 = 1 mod (p) dès que p est premier et α entre 1 et p 1. Comme (α s ) u = P u et (α k ) v = u v, Bob peut calculer P u et u v et s assurer que leur produit donne bien α M modulo-p. Pour signer le message M sans connaître s on est face à un problème difficile trouver u et v vérifiant α M = P u u v mod (p) problème qui nécessite a priori le calcul d un logarithme. Comme la signature S = (u, v) dépend de M, il est très difficile pour le grand méchant Oscar qui a intercepté le message d Alice avant qu il n arrive à Bob, de changer son contenu, i.e., de le falsifier. De plus, même envoyé plusieurs fois, le même message M n aura pas la même signature S à cause du choix aléatoire de k. En conclusion, tout le monde sait authentifier le message d Alice mais seule Alice peut authentifier ses messages. Pour cela Alice utilise astucieusement l exponentielle modulaire et le petit théorème de Fermat. Exercice Imaginer un protocle à base d exponentielles modulaires pour jouer à pile ou face sur internet, garantissant le fait qu aucun des deux joueurs ne pourra tricher sans que l autre ne le sache. 1.4 Le système RSA Les systèmes précédents utilisent le fait que le calcul d une exponentielle est facile alors que l opération inverse est difficile. Le protocle d El Gamal de clé publique n est pas historiquement le premier. Il s agit du système RSA inventé par Rivest, Shamir et Adleman en 1977 [6]. Ce système s appuie sur la difficulté de factoriser un grand nombre (d au moins 104 bits) qui est le produit de deux grands nombres premiers. On reprend le problème résolu par le protocole di-symétrique d El Gamal. La clé secrète que garde précieusement Bob est formée de deux grands nombres premiers p et q de plusieurs centaines de bits. La clé rendue publique par Bob est le produit n = pq ainsi qu un entier e qui a la propriété particulière d être inversible modulo (p 1)(q 1), i.e., d être premier avec

12 1.5. GRANDS NOMBRES PREMIERS 11 (p 1)(q 1). En fait (p 1)(q 1) est la valeur de la fonction indicatrice d Euler ϕ en n (ϕ(n) est par définition le nombre d entiers premiers avec n et plus petits que n). Le chiffrement d un message représenté par un entier M mod (n) se fait par la transformation suivante : M M e mod (n). Ainsi Bob reçoit via un canal public A = M e. Pour déchiffrer, il lui suffit d élever A à la puissance d où d est l inverse de e modulo ϕ(n) = (p 1)(q 1). On sait en utilisant un raffinement du théorème d Euler-Fermat avec le théorème chinois (voir page 30) que M ed = M mod (n) et donc que A d = (M e ) d = M ed = M mod (n). Remarquons maintenant que le grand méchant Oscar doit trouver M A = M e mod (n) connaissant A, e et n. On ne sait pas comment faire un tel calcul en temps polynômial sans connaître ϕ(n). Comme, ϕ(n) = (p 1)(q 1) et n = pq cela revient à connaître p et q. En mode signature, il suffit de permuter le rôle de e et d. Ainsi, Alice choisit p et q deux grands nombres premiers et communique sa signature officielle sous la forme de (n = pq, e) où e est inversible par rapport à ϕ(n). Alice garde bien-sûr sa clé secrète d qui est l inverse de e modulo ϕ(n). Pour signer son message Alice envoie à Bob M et sa signature M d. Alors Bob authentifie le message comme provenant d Alice en vérifiant que (M d ) e = M mod (n) qui signifie implicitement que l expéditeur connaît un inverse de e modulo ϕ(n) et donc la factorisation de n. Ce ne peut donc être qu Alice. Exercice Imaginer un système de monnaie électronique anonyme utilisant la fonction puissance de RSA. 1.5 Grands nombres premiers Les grands nombres premiers jouent un rôle important en cryptographie. L un des premiers problèmes pratiques est d en construire. Nous montrons ici comment des résultats en théorie des nombres permettent de répondre à cette préoccupation.

13 1 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE Répartition On note P l ensemble de nombres premiers. Euclide avait démontré l existence d une infinité de nombres premiers. Pour caractériser leur répartition, on introduit la fonction de comptage π(x) suivante : π(x) := #{p P p x} Gauss et Legendre avaient déjà suggéré au cours des dernières années du XV III e siècle que π(x) x/ log(x) pour x grand. Ce n est qu en 1896 que Hadamard et de la Vallée-Poussin ont montré ce résultat en utilisant une fonction de la variable complexe qui code les nombres premiers, la fonction ζ de Riemann définie par la série de Diriclet ζ(s) = n 1 1 n s (1.1) absolument convergente pour R(s) > 1. Il s en suit que le moyen le plus simple pour obtenir un grand nombre premier est de prendre au hasard un grand entier et de tester s il est premier. En effet, nous le verrons plus loin, on dispose, avec par exemple le test de Miller-Rabin, d un algorithme très efficace qui garantie la primalité, avec une probabilité aussi petite que l on souhaite. Si l on tire au hasard un nombre de 104 bits, on sait, en utilisant π(x) x/ log(x), que l on a une chance sur log( 104 ) 710 de tomber sur un nombre premier. Une telle méthode est tout à fait praticable si l on dispose de tests rapides de primalité. Une autre façon de voir la répartition π(x) x/ log(x) est la suivante. Supposons que nous ayons classé les nombres premiers par ordre croissant p n avec n N, p n < p n+1. Alors dire π(x) x/ log(x) pour x grand, équivaut à dire que p n n log(n) pour n grand. En effet π(p n ) = n par construction. Donc, si π(x) x/ log(x) alors p n / log(p n ) n et donc p n n log(n). Réciproquement si p n n log(n) alors, par définition π(x) = n où n est l unique entier tel que p n x < p n+1. En remplaçant p n par n log(n) dans cette inégalité on voit que, n log(n) x soit donc π(x) = n x/ log(x) Algorithme AKS Depuis de nombreuses années, les spécialistes pensaient qu il existait un algorithme en temps polynomial pour tester la primalité d un nombre n. Cette conjecture est effectivement vraie car en 00, Manindra Agrawal de l Indian Institute of Technology à Kanpur et deux de ses étudiants Neeraj Kayal et Nitin Saxena ont trouvé un algorithme simple et polynômial en 0(log 1 (n)) qui teste la primalité de n.

14 1.5. GRANDS NOMBRES PREMIERS 13 Leur algorithme s appuie de façon ingénieuse sur le petit théorème de Fermat qui dit que pour tout entier premier n et tout entier a 0 mod (n) (i.e. a premier avec n) alors a n 1 = 1 mod (n). Nous ne décrirons pas ici cet algorithme. Nous renvoyons le lecteur à google avec comme mots clés AKS et Prime pour avoir les informations les plus récentes sur cet algorithme. Enfin, l algorithme AKS répond par oui ou non à la question : n, est-il premier?. Si la réponse est non, l algorithme ne donne pas de diviseur non trivial de n. Ainsi, la difficulté de la factorisation, difficulté sur laquelle repose le système RSA reste entière. Mais il reste possible que des étudiants brillants trouvent un algorithme efficace de factorisation. Cependant, les spécialistes pensent qu un tel algorithme n existe pas alors que pour la primalité, l ensemble de la communauté s accordait à penser avant l été 00 qu être premier est dans P Tests probabilistes Le test de Miller-Rabin est le prototype d algorithme RP (c est à dire qui comporte un part d aléatoire et donc assure la primalité avec une probabilité aussi proche de 1 que l on veut). Cet algorithme est nettement plus efficace en pratique que la version actuelle d AKS. Cela peut changer mais pour l instant ce n est pas le cas. Pour comprendre ce test, il faut revenir au test de Fermat. Test de Fermat et nombres de Carmichael Rappelons le petit théorème de Fermat : si n est premier alors pour tout a 0 mod (n), a n 1 = 1 mod (n). Ainsi, si après avoir tiré au hasard un nombre n, on trouve un 1 a < n tel que a n 1 1 mod (n), on sait que n n est pas premier. Aussi, il est tentant de faire le dépistage heuristique suivant appelé test de Fermat : prendre a < n au hasard et calculer a n 1 mod (n). Si a n 1 = 1 mod (n) on dit que n est premier en base a. Etudier l efficacité de ce test revient à étudier la densité des nombres composés et premiers en base a par rapport celle des nombres premiers : on parle alors d entiers pseudo-premiers en base a. Si on note π a (x) le nombre d entiers n composés, premiers en base a et x, alors on sait que π a (x)/π(x) tend vers zéros quand x tend vers l infini. Par exemple, pour a =, Pomerance (1981) a montré que exp ( log(x) 5/14) ( ) log(x) log log log(x) π (x) x exp log log(x)

15 14 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE Ainsi pour x = 51 on a π (x)/π(x) 5, On peut dire que pour n grand choisi au hasard, il faut être très malchanceux pour que n soit pseudo-premier en base a pour un grand nombre de a. Cependant, cela ne veut pas dire qu il n existe pas de nombre n qui soit pseudo-premier pour toutes bases a entre et n 1 avec a premier avec n. En fait, il en existe une infinité. Ce sont les nombres de Carmichael qui sont la plaie du test de Fermat. On a montré en 1994 que pour x assez grand il existe au moins x /7 nombres de Carmichael inférieurs à x (pour plus d information voir [9][pages ]). Algorithme de Miller-Rabin Nous allons simplement décrire l algorithme sans en justifier tous les points. On peut voir cet algorithme comme une version étendue du test de Fermat qui évite la plaie associée aux nombres de Carmichael. Nous ne parlerons pas ici du test de Soloway-Strassen qui est historiquement le premier du genre. En fait, le test de Miller-Rabin est une réelle amélioration de ce dernier tout en étant plus simple à expliquer (pas de symbole de Jacobi). Pour n premier et a n 1, on sait que a n 1 = 1 mod (n). Mais n 1 est pair donc b = a n 1 vérifie b = 1 mod (n). Donc b est racine du polynôme y 1 = 0 dans Z/nZ qui est un corps pour l addition et la multiplication modulo-n car n est premier. Dans un corps, le nombre de racines d un polynôme est au plus égal à son degré. Donc on a nécessairement b = 1 mod (n) ou b = 1 mod (n), car 1 et 1 sont deux racines distinctes de y 1. Ainsi, si n est premier, a n 1 = ±1 mod (n) pour tout 0 < a < n. Si (n 1)/ est encore pair et si a n 1 = 1 mod (n), alors un raisonnement identique montre que nécessairement a n 1 4 = ±1 mod (n). En continuant jusqu à l entier s pour lequel n 1 soit impair on obtient le test très astucieux s suivant. Test de Miller-Rabin Pour un entier impair n que l on écrit n = 1 + s t avec s 1 et t impair : on prend au hasard a entier entre et n 1 et on calcule les nombres r i = a i t mod (n). L entier n passe le test dans les deux cas suivants : soit r 0 = r 1 =... = r s = 1 ; soit il existe i entre 0 et s 1 tel que r i = 1. Un nombre n qui passe le test de Miller-Rabin pour un certain a est dit fortement premier en base a.

16 1.5. GRANDS NOMBRES PREMIERS 15 Exercice Donner une version optimisée sur le plan algorithmique du test de Miller-Rabin et en donner sa complexité en terme de multiplication modulon. Cependant, la situation est très différente du test de Fermat, car il n existe pas pour ce test ci l analogue des nombres de Carmichael qui passeraient le test pour tout entier a < n bien que n soit composé. En effet, on peut montrer par des raisonnements arithmétiques assez élémentaires que, si n est composé, n est fortement premier en base a pour au plus 1/4 des entiers a entre et n 1. Ainsi une utilisation probabiliste du test de Miller-Rabin pour un entier n impair est la suivante. On prend k entier grand. On choisit a 1 entre et n 1 au hasard. Si n n est pas fortement premier en base a 1, n n est pas premier on s arrête. Sinon, on choisit toujours au hasard un nouveau a différent de a 1 entre et n 1. Si n est fortement premier en base a, on choisit un troisième nombre a 3 différent des deux précédents. Et ainsi de suite jusqu à avoir choisi au plus k nombres différents a i entre et n 1. Bien sûr, on s arrête avant si pour un certain a i, n n est pas fortement premier en base a i. Supposons maintenant que le nombre n soit fortement premier pour toutes les bases a 1 à a k de la procédure précédente. Un simple comptage montre que, la proportion des k-uples (a 1,..., a k ) {,..., n 1} k tels que n soit fortement premier pour chaque a i est plus petite que 1. Ainsi on peut dire qu un tel n 4 k est premier avec une probabilité de k Cependant, il faut faire attention à l utilisation de ce type de probabilité. En effet, on pourrait en conclure des estimations probabilistes fausses concernant la méthode suivante de génération de grands nombres premiers. Tirons au hasard un nombre n parmi tous les nombres au plus égaux à N avec N grand. La probabilité que n soit premier est de 1/ log(n). Supposons que pour un entier k assez grand, n ait passé avec succès k tests de Miller- Rabin. Un raisonnement un peu rapide nous dirait que n est premier avec une probabilité de 1 1/4 k. Cela est faux, car il faut aussi considérer le fait que n est pris au hasard parmi les nombres plus petits que N, avec une probabilité de 1/ log(n) de tomber lors de ce premier tirage sur un nombre premier. Alors on peut montrer mais ce n est pas si facile (cf. exercice ci-dessous) que la probabilité pour que n, tiré au hasard (loi uniforme) dans [0, N] avec N grand, soit composé et que n passe le test k fois, vérifie l estimation Prob(n composé test passé k fois) < log(n)/4 k (1.) dès que k est assez grand pour que 4 k log(n). Ainsi, si l on se fixe maintenant ε 1 et le nombre de bits B pour n (N = B+1 ), on en déduit le

17 16 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE nombre minimal k de tests à faire par la formule k = log(log(n)/ε). log(4) Par exemple, pour un nombre de 51-bits pris au hasard, il faut prendre k = 6 (resp. k = 4) si on veut avoir un probabilité d erreur de moins de 10 5 (resp ) de se tromper après k tests de Miller-Rabin positifs. Exercice (sur la formule de Bayes) Montrer que la probabilité qu un nombre n pris au hasard parmi les nombres plus petits que N (N grand) passe k tests de Miller-Rabin et soit composé, est donnée par p k (1 1/ log(n)) p k (1 1/ log(n)) + 1/ log(n) où p k est la probabilité de passer le test k fois sachant le nombre n composé. Utiliser le fait que p k 1/4 k pour en déduire la formule (1.). Algorithme de Miller-Bach Il s agit d un algorithme déterministe et polynômial qui repose sur une conjecture plausible en théorie des nombres : l hypothèse de Riemann généralisée. Pour donner une idée de cette conjecture, voici l hypothèse de Riemann pour la fonction ζ(s). Bien que la série (1.1) ne semble définir ζ(s) que pour R(s) > 1, on peut prolonger ζ sur tout le plan complexe sauf en s = 1 qui est un pôle simple. Plus directement ζ(s) 1/(s 1) est une fonction holomorphe définie sur tout le plan complexe : c est donc une fonction entière comme le sont les fonctions cos s ou sin s/s par exemple. L hypothèse de Riemann porte alors sur la localisation des zéros de ζ. On sait depuis longtemps que ζ( n) = 0 pour n entier > 0. On sait aussi depuis longtemps que les autres zéros, appelés zéros non triviaux, sont dans la bande verticale 0 < R(s) < 1. Dans son fameux article de 1859, Riemann émet l hypothèse que les zéros non triviaux de ζ sont sur la droite verticale R(s) = 1/. Cette hypothèse, corroborée par des calculs numériques très poussés n a pas encore été démontrée et constitue la grande conjecture de la théorie analytique des nombres. Maintenant, l hypothèse de Riemann généralisée porte sur des fonctions similaires à ζ du type χ(n) n s n 1. Une fonction entière de s C est caractérisée par le fait que son développement en séries en s = 0 admet un rayon infini de convergence.

18 1.5. GRANDS NOMBRES PREMIERS 17 où la fonction χ : N C est une fonction périodique et multiplicative (χ(n 1 n ) = χ(n 1 )χ(n )) particulière dite caractère de Dirichlet modulo-n, N étant la période de χ. L hypothèse est alors que les zéros non triviaux de ces fonctions sont tous sur la droite R(s) = 1/. En 1985, Miller et Bach ont prouvé, en supposant vraie l hypothèse de Riemann généralisée, que si l entier impair n est fortement premier pour toute base a entre et log (n) alors il est premier. Ainsi comme le test de Miller-Rabin est polynômial, il est facile de voir que les E( log (n)) 1 tests qui constituent l algorithme de Miller-Bach impliquent une complexité polynômiale Fabrication de grands nombres premiers On s appuie sur un théorème classique en théorie des nombres, le théorème de Lucas que nous rappelons maintenant : le nombre n est premier, si et seulement si, il existe α n 1, tel que α n 1 = 1 mod (n) et α n 1 p 1 mod (n) pour tout diviseur premier p de n 1. Si on connaît la décomposition en facteur premier de n 1, i.e., si on sait que n = 1 + p ν p ν k k, il est facile d avoir un test qui garantie la primalité de n : on choisit un α au hasard et on calcule α n 1 mod (n), α n 1 p 1 mod (n)... α n 1 p k mod (n) Si le test est positif on est sûr que n est premier, s il est négatif alors on change de α. Si au bout de plusieurs essais avec des α différents les tests sont toujours négatifs, on a de fortes craintes que n ne soit pas premier et on change de n en jouant sur les exposants ν i. L idée pour obtenir un grand nombre premier p avec un élément primitif α consiste à construire récursivement des nombres premiers de plus en plus grands par cette méthode en posant n = 1 + p ν p ν k k où l on sait que les p i sont premiers. Une fois que l on a trouvé des exposants ν i tels que n soit premier alors on rajoute n dans la liste des p i et on continue l opération avec k + 1 nombres premiers cette fois Conclusion Pour obtenir des grands entiers RSA n = pq, il vaut mieux générer les nombres premiers p et q au hasard, car ces derniers constituent la clé secrète. Une construction via le théorème de Lucas est à déconseiller. Ainsi les tests probabilistes sont adaptés. Puisque le test de Miller Rabin n est

19 18 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE guère plus compliqué que celui de Fermat et qu il conduit à des probabilités d erreur arbitrairement faibles en le répétant suffisamment de fois, il est systématiquement utilisé. Si l on souhaite utiliser une exponentielle modulaire, il faut disposer d un nombre premier p et d un élément primitif α modulo-p. Comme p et α sont publics, la fabrication par le théorème de Lucas est possible puisqu elle donne en même temps de grands nombres premiers avec éléments primitifs. Enfin, s il s agit de tester la primalité d un nombre dont on ne maîtrise pas l origine, il vaut mieux ne pas utiliser le test de Fermat. On pourrait avoir affaire à un nombre de Carmichael. Il faut utiliser le test de l algorithme de Miller-Rabin. 1.6 Complexité Introduction L un des buts de cette section est de comprendre pourquoi la preuve formelle de l existence de fonctions à sens unique impliquerait P NP, la célèbre conjecture en théorie de la complexité. De plus les liens entre cryptographie et complexité sont étroits et souvent à l origine de nouvelles classes de complexité comme la classe RP issue de l algorithme de Miller-Rabin. Nous allons donner maintenant une description très informelle mais que nous espérons suggestive de diverses classes de complexité. Mais avant cela, prenons trois types de problèmes représentatifs des difficultés rencontrées. Les deux problèmes peuvent se traiter par des algorithmes, le dernier ne peut pas se traiter par un algorithme. Satisfaisabilité des formules booléennes La donnée (on parle aussi d instance) est un entier n et F une fonction booléenne de n variables booléennes (x i {0, 1}, i = 1,..., n) (x 1,..., x n ) F (x 1,..., x n ) {0, 1}. où F est construite avec des expressions faisant intervenir les opérateurs logiques usuels (et, ou et négation). La question est : existe-t-il un (x 1,..., x n ) tel que F (x 1,..., x n )) = 1. Véracité des formules booléennes quantifiées La donnée est un entier n, F une fonction booléenne de n variables booléennes (x i {0, 1}, i = 1,..., n) et la formule avec quantificateurs x i, x j,... F (x 1,..., x n ). La question est alors : cette formule est-elle vraie?

20 1.6. COMPLEXITÉ 19 Dixième problème de Hilbert La donnée est un entier n et un polynôme à coefficients entiers de n variables P (x 1,..., x n ). La question est alors : l équation dite diophantienne P (x 1,..., x n ) = 0 admet-elle une solution entière (x 1,..., x n ) Z n. En 1971, Matjacevic a montré qu il n existe pas d algorithme (dans toutes les définitions actuelles de cette notion) qui décide si une équation diophantienne admet une solution entière. Cela veut dire que ce problème est inaccessible à l algorithmique. En revanche les deux autres problèmes sont accessibles à l algorithmique. Pour résoudre le premier problème, il suffit de calculer F pour tous les n- uples possibles (x 1,...x n ). Si F est identiquement nulle la réponse est non et oui sinon. Pour résoudre le second, il suffit aussi de faire l inventaire de toutes les possibilités. Nous voyons bien que, pour le troisième problème, il n est pas possible d explorer toutes les possibilités car l ensemble des entiers étant infini, nous avons une infinité de cas à traiter. Le premier problème est représentatif de la classe des problèmes dits de compléxité NP car c est un problème de difficulté maximale dans cette classe (problème dit NP -complet). Un problème est dit NP si l on peut certifier ces instances positives en temps polynômial en log(n) par un oracle. Nous verrons plus loin à quoi correspond un oracle. Le second problème est représentatif de la classe des problèmes dits de compléxité PSPACE car c est un problème de difficulté maximale dans cette classe. Nous n aborderons pas cette classe de problèmes qui admettent un algorithme nécessitant un espace mémoire polynômial en log(n). Nous allons maintenant considérer les problèmes de décision, i.e. dont la réponse est oui ou non, en connexion directe avec les algorithmes que nous avons vus précédemment. Nous noterons formellement x les données d un problème P. Nous ne parlerons pas de machine de Turing. Aussi, les définitions qui suivent ne sont pas rigoureuses. Nous y avons remplacé la notion de Machine de Turing et de calculabilté par un autre terme que nous n avons pas défini, celui d algorithme, terme qui correspond plus à l intuition. Pour un exposé rigoureux, nous renvoyons le lecteur à [4, 18] Classe P Le problème P sera dit de classe P s il existe un algorithme polynômial en temps qui le résout. Par polynômial, nous entendons polynômial par rapport à l espace nécessaire pour coder les données x. Pour se faire une idée plus précise, prenons trois exemples. Le premier problème est : les entiers m et n sont-ils premiers entre eux?

21 0 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE Nous savons ( par l algorithme ) d Euclide calculer le pgcd. Ce calcul nécessite log(n) au plus E ) divisions pour m n (voir le chapitre suivant). ( log 1+ 5 Le second problème est plus instructif. Il montre l équivalence entre le calcul en temps polynômial d une famille de fonctions (f n ) n N de {1,...n} dans lui même et le problème de décision suivant. Les données sont l entier n et deux autres entiers x et t plus petits que n. La question est : A-t-on f n (x) t? En effet si f n (x) se calcule en temps polynômial par rapport à log(n), ce problème est de façon évidente dans P. Supposons maintenant que ce problème est dans P. Prenons n et x entiers avec 1 x n, voyons comment calculer f n (x) en temps polynômial. Pour cela, nous pouvons savoir en temps polynômial si f n (x) [1, n/] ou f n (x) [n/, n]. Si f n (x) [1, n/] on peut savoir en temps polynômial si f n (x) [1, n/4] ou f n (x) [n/4, n/]. Si f n (x) [n/, n] on peut savoir en temps polynômial si f n (x) [n/, 3n/4] ou f n (x) [3n/4, n]. On voit bien qu avec de telles dichotomies, on sait en faisant appel s-fois à l algorithme polynômial si f n (x) est dans un intervalle de longueur au plus n/ s. Il suffit maintenant de prendre s = 1 + E(log (n)) pour avoir la valeur exacte de f n (x) puisque c est un entier. On aura obtenu ainsi la valeur de f n (x) en résolvant un nombre polynômial de problèmes polynômiaux. Donc le calcul de f n (x) est polynômial en log(n). Le troisième problème est : n est-il un nombre premier? L algorithme AKS répond à la question avec un temps en O(log 1 (n)) Classe NP Le problème de décision P est dit calculable par un algorithme non déterministe et polynômial en temps, si et seulement si, il existe un algorithme ayant comme données de départ x et aussi y (fini et correspondant à l oracle évoqué dans l introduction de cette section), tel que pour toute instance x vérifiant P(x) vrai alors il existe un certificat y(x) tel que cet algorithme ayant x et y(x) comme données calcule P(x) vrai en temps polynômial par rapport à x. Cette définition peut paraître obscure. Elle ne dit rien du comportement de cet algorithme quand on le lance avec un x et y arbitraire. Il peut très bien ne pas s arrêter ou s arrêter mais après un temps gigantesque. Tout ce que nous demandons est que si l on part d une instance positive x et si l on choisit bien le complément y(x) des données de départ, l algorithme montre que P(x) est vrai en temps polynômial. Le temps est polynômial par rapport aux données brutes x, celles que l on connaît en excluant les autres données y(x) dont nous connaissons l existence mais que nous sommes a priori bien in-

22 1.6. COMPLEXITÉ 1 capables de calculer. C est pourquoi on parle d algorithme non-déterministe car le bon certificat y(x) associé l instance positive x du problème n en fait pas partie. La classe NP est l ensemble des problèmes de décision calculables par un algorithme non-déterministe polynômial en temps. A cause de la disymétrie entre P(x) vraie et P(x) faux, on définie conp l ensemble des problèmes P donc le complémentaire est dans NP (on remplace instances positives par instances négatives dans la définition). Nous allons maintenant prendre deux exemples qui montrent bien que cette définition un peu obscure provient en fait de problèmes algorithmiques concrets. Montrons que le problème de la factorisation est dans NP. Pour cela nous le traduisons en un problème de décision : les données sont deux entiers n et M < n. La question est : existe-t-il un diviseur de n plus petit que M et > 1. Par dichotomie successive, on voit que si l on sait résoudre ce problème en temps polynômial, disons en p(log(n)) avec p polynôme, on sait trouver un diviseur de n en temps polynômial. On part de M = E(n/), un premier calcul donne la position du diviseur éventuel soit dans [, E(n/)[ ou [E(n/), n[, i.e. dans un intervalle de longueur au plus n/. Un second calcul va le localiser dans un intervalle de longueur au plus n/4. Après s calculs on a localisé le diviseur dans un intervalle de longueur au plus n/ s. Ainsi avec s = 1 + E(log (n)) on aura localisé le diviseur dans un intervalle de longueur au plus de 1, i.e. on aura donc le diviseur au bout du temps p(log(n)) log (n). Montrons que notre problème de décision est dans NP. En effet, il suffit pour les instances x = (n, M) positives (i.e., telles qu il existe un diviseur de n plus petit que M) de prendre un diviseur de n plus petit que M que nous noterons y(n, M). L algorithme de vérification consiste simplement à diviser n par y(n, M) et ainsi on vérifie que n a bien un diviseur non trivial plus petit que M. Montrons aussi que ce problème est dans conp. C est un peu plus compliqué car on s intéresse à x = (n, M) tel qu il n existe pas de diviseur de n plus petit que M. Pour cela, la structure de y est plus lourde. En effet, il faut que y comporte les données suivantes : la décomposition de n en facteurs premiers n = k i=1 pν k k. Avec ces données supplémentaires y = (p i, ν i ) i=1,...,k nous pouvons proposer l algorithme suivant : vérification via AKS que les k nombres p i sont bien des nombres premiers ; vérification que chaque p i est bien plus grand que M. On laisse au lecteur le soin de montrer que notre algorithme est en temps polynômial par rapport à log(n). On peut utiliser la même démarche pour montrer que le logarithme discret est dans NP et aussi dans conp. Pour p premier, α primitif modulo-p et

23 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE n < p on définit la fonction log ainsi m si p est premier, α primitif modulo-p et m l unique entier tel que (p, α, n) log(p, α, n) = 0 < m < p et α m = n mod (p) 0 sinon. et le problème de décision suivant : les données sont p et les nombres α, n et t plus petits que p ; la question est A-t-on log(p, α, n) < t? Classe RP Il s agit de problèmes pouvant être résolus par des algorithmes probabilistes polynômiaux (ne pas confondre probabiliste avec non-déterministe, ici). Un problème P est dans RP, si et seulement si, il existe des polynômes p(n) et q(n) où n la taille des données 3 x et un algorithme ayant comme données de départ x et y (certificat) telles que les instances x négatives de P (P(x) faux) sont caractérisées par le fait que pour tout y de taille plus petite que p(n), l algorithme partant de x et y donne en un temps plus petit que q(n) la réponse P(x) faux. si x est une instance positive de P (P(x) vrai) alors pour au moins la moitié des certificats y de taille plus petite que p(n), l algorithme fournit la réponse vraie en un temps inférieur à q(n). Notons d abord que RP est contenu dans NP. Ensuite, cette définition est faite sur mesure pour le test de Miller-Rabin de primalité. Détaillons un peu ce problème. La question est : l entier x est-il composé? Les variables y correspondent ici à un entier entre et x, donc le polynôme p(n) où n = log(x) n est autre que l identité : on ne fait que doubler au plus la taille des données en rajoutant le certificat y. Le fait que x ne soit pas composé, c est à dire que x soit premier, est équivalent au fait que x soit fortement premier pour toutes les bases y entre et x 1. De plus, l algorithme qui teste si x est fortement premier en base y n est autre que le test de Miller-Rabin, il est de complexité polynômiale en la taille de x, le polynôme q correspond donc à la complexité du test de Miller-Rabin. Ainsi le premier point de la définition est vérifié. Le second point découle du fait que si x est composé alors pour au moins les 3/4 des y entre et x 1, x n est pas fortement premier en base y. 3. Si x est entier, n correspond donc à log(x).

24 1.6. COMPLEXITÉ Fonctions à sens unique et la conjecture P NP L existence de fonctions à sens unique est une conjecture aussi difficile que P NP. En effet reprenons la définition de la section 1.1 où nous supposerons que chaque f n est une bijection de A n = {1,..., n} dans B n = {1,..., n}. On considère alors la famille (f n ) n N. Le fait que les f n soient faciles à calculer se formalise alors via le problème noté F suivant : les données sont un entier n et deux autres entiers x et t entre 1 et n. La question est : A-t-on f n (x) t? Si pour chaque n le calcul de f n (x) est polynômial, le problème F est trivialement dans P. Supposons donc F dans P. De même, le calcul de l inverse des f n est associé au problème de décision suivant noté F 1 : les données sont un entier n et deux autres entiers x et t entre 1 et n ; la question est : a-t-on fn 1 (x) t? Clairement, F 1 est dans NP. En effet, il suffit de prendre comme certificat y = fn 1 (x). Le fait que le problème F 1 soit difficile, i.e., que les f n soient à sens unique, se traduit donc par le fait que F 1 n est pas dans P (car sinon le calcul de fn 1 serait polynômial, voir le second problème de la section 1.6. ). Comme F 1 est nécessairement dans NP, on voit que l existence d une fonction à sens unique implique P NP.

25 4 CHAPITRE 1. CRYPTOGRAPHIE CLASSIQUE

26 Chapitre Théorie des nombres Nous reprenons ici certains résultats qui interviennent dans le chapitre sur la cryptographie. Les deux premières sections s appuient en partie sur le premier chapitre de [9]. Les autres sections abordent la théorie analytique des nombres et la distribution des nombres premiers. Pour le rédiger nous nous sommes souvent inspirés des cours de Jean-Benoît Bost sur les séries de Dirichlet et les nombres premiers [8, 9]. En complément le Que sais-je sur les nombres premiers [8] donne en dernière partie un éclairage probabiliste ainsi qu une preuve élémentaire mais assez difficile du théorème des nombres premiers. Nous recommandons aussi l excellent livre de vulgarisation de Jean-Paul Delahaye sur les nombres premiers [13] qui inclut un chapitre entier sur la cryptographie. On pourra aussi consulter l Encyclopeadia Universalis qui comportent d excellents articles sur des sujets connexes. Enfin un lecteur voulant vraiment approfondir le sujet pourra consulter le livre classique dû à Hardy et Wright [0]..1 PGCD.1.1 Z n et Z n Deux entiers a et b sont congrus modulo un entier n, si et seulement si, leur différence a b est un multiple de n. On note alors : a = b mod (n). La relation de congruence modulo n est une relation d équivalence. On note Z n = Z/nZ l ensemble des classes modulo n. Il y en a n (#Z n = n) et on identifie Z n à l ensemble {0, 1,..., n 1}. Z n est muni d une structure naturelle d anneau pour l addition et la multiplication. En particulier Z n muni de l addition + est un groupe commutatif (on dit aussi abélien). En revanche Z n n est pas en général un groupe pour la multiplication (le produit de 3 par 5

27 6 CHAPITRE. THÉORIE DES NOMBRES dans Z 6 donne 0). On note Z n l ensemble des éléments inversibles de Z n pour la multiplication. Nous allons voir que, si n est premier, Z n = Z n /{0} et Z n est un corps. Soit k inversible modulo n, i.e., k Z n. Supposons que k et n admettent un diviseur non trivial a > 1. On pose k = pa et n = qa avec p et q entier. Alors, kq = paq = pn = 0 mod (n). Ce qui n est pas possible car k est inversible et donc nécessairement q = 0 mod (n). Ainsi, tout élément de Z n est un entier premier avec n (un entier n ayant pas de diviseur commun avec n, ou encore un entier dont le pgcd avec n est 1). La réciproque est vraie : Z n correspond exactement à l ensemble des entiers entre 1 et n 1 premiers avec n, i.e., qui n admettent pas de diviseur commun avec n autre que 1. La preuve de ce résultat repose sur l algorithme d Euclide et l identité de Bezout..1. Algorithme d Euclide L algorithme d Euclide permet de calculer efficacement les inverses modulo n via la relation de Bezout. Soient donc deux entiers strictement positifs k < n. L agorithme de division d Euclide est composé des divisions successives suivantes : n = kq 0 + r 0, r 0 < k k = r 0 q 1 + r 1, r 1 < r 0 r 0 = r 1 q + r, r < r 1. r m = r m 1 q m + r m, r m < r m 1 r m 1 = r m q m+1 + r m+1, 0 = r m+1 < r m où la suite (n, k, r 0, r 1,..., r m, r m+1 ) est strictement décroissante et arrive à zéro avec r m+1 = 0 (ce qui définit l indice m). Il est facile de voir que le pgcd est r m. En effet si p divise n et k alors il divise r 0 (première division), mais aussi r 1 (seconde division),..., et enfin r m (avant dernière division). Comme r m divise r m 1 (dernière division), r m divise aussi r m (avant dernière division),..., en enfin k (seconde division) et n (première division). L algorithme d Euclide calcule donc le pgcd. Il donne aussi l inverse de k modulo n. Il donne même plus avec l identité de Bezout : pour tout 1 < k < n, il existe u et v dans Z tels que un + vk = pgcd (n, k).

28 .1. PGCD 7 Il suffit de résoudre le système formé par les m + 1 premières divisions par rapport aux m + 1 restes r i, i = 0,..., m. Il s agit d un système linéaire de la forme r 0 n kq 0 r 1 k A r = r m où la matrice A est à coefficients entiers, triangulaire inférieure et avec 1 sur la diagonale. Donc son inverse est aussi une matrice à coefficients entiers (on appelle ce type de matrices, des matrices uni-modulaires, on les retrouve très souvent et elles jouent un rôle fort important dans de nombreux domaines,...). Donc chaque r i est combinaison linéaire à coefficients dans Z de k et de n et en particulier r m = pgcd (n, k) = un + vk avec u et v dans Z. Si n et k sont premiers entre eux, alors il existe u et v dans Z tels que un + vk = 1, ce qui s écrit aussi vk = 1 mod (n) donc v est l inverse de k pour la multiplication dans Z n, et donc k Z n..1.3 Complexité de l algorithme d Euclide Evaluons le nombre D de divisions de l algorithme d Euclide en fonction de la taille de n. L algorithme sera le plus long lorsque chaque quotient q i vaut 1 avec r m = 1 et r m+1 = 0. Ainsi, on a et r i = r i+1 + r i+, i = 0,..., m k = r 0 + r 1, n = k + r 0 En prenant la récurrence précédente en sens rétrograde avec les i décroissants, on voit que n correspond au (m + 4)-ième nombre de la suite F j = F j 1 + F j avec comme départ de la récurrence, F 0 = 0 et F 1 = 1. Il s agit de la suite de Fibonacci où apparaît le nombre d or φ = (1 + 5)/. En effet, on sait (faire une transformée en Z, classique en contrôle linéaire) que la solution générale d une récurrence linéaire est obtenue par combinaison linéaire des puissances des racines de l équation caractéristique Z = Z + 1.

29 8 CHAPITRE. THÉORIE DES NOMBRES Les racines sont le nombre d or φ et ψ = 1 φ. Aussi F j = aφ j + bψ j où a et b sont déterminés par les conditions initiales F 0 et F 1. Ainsi F j = (φ j ψ j )/ 5. Comme F m+4 = n dans le cas le plus défavorable, le nombre D = m + de divisions effectives est relié à n via l inéquation n F D+ = (φ D+ ψ D+ )/ 5 Un petit calcul montre que D log φ (n). Ainsi, l algorithme d Euclide est polynômial. L estimation précédente est due à Lamé (1845).. La fonction d Euler ϕ(n) Pour tout entier n > 1, on note ϕ(n) le nombre d entiers entre 1 et n 1 premiers avec n. Ainsi, par définition, ϕ(n) = #Z n. Nous voyons que n premier est équivalent à ϕ(n) = n 1. Nous allons voir que ϕ est une fonction multiplicative, au sens où, si n et m sont premiers entre eux, ϕ(mn) = ϕ(n)ϕ(m). Ce type de fonctions joue un grand rôle en arithmétique et dans les séries de Dirichlet (cf. la fin de ce chapitre avec les produits eulériens)...1 Fermat et Euler Théorème 1 (Fermat-Euler). Si a est premier avec n alors a ϕ(n) = 1 mod (n). La preuve est très simple. L hypothèse sur a se traduit par a Z n. Donc l application x ax de Z n dans lui même est une bijection. Il s agit d un simple changement d indexation des éléments de Z n via le changement de variable y = ax : x = ax mod (n) x Z n x Z n Mais x Z n ax = aϕ(n) x Z n x. D où nécessairement aϕ(n) = 1 mod (n). Lorsque n est premier ϕ(n) = n 1 et tout a entre 1 et n 1 est premier avec n. On a donc le corollaire suivant : Théorème (petit théorème de Fermat). Si n est premier et si a entier entre 1 et n 1, alors a n 1 = 1 mod (n).

30 .. LA FONCTION D EULER ϕ(n) 9 Ainsi l inverse de a dans Z n est a n. On a aussi un dernier résultat ( veut dire divise ) Théorème 3 (Euler). ϕ(n/d) = d n d n ϕ(d) = n La somme porte sur tous les diviseurs de n entre 1 et n. Lorsque n est premier cette somme est réduite à d = 1 et d = n (ϕ(1) = 1 et ϕ(n) = n 1). La preuve de ce théorème est la suivante : Pour 1 d n, on pose (# veut dire cardinal) ψ(d, n) = #{x Z n pgcd (x, n) = d}. Si d divise n alors ψ(d, n) 0 sinon ψ(d, n) = 0. Donc n = n d=1 ψ(d, n) = d n ψ(d, n). Mais, ψ(d, n) = ϕ(n/d) si d divise n. En effet, il suffit de diviser par d, pour mettre en bijection les nombres x tels que pgcd (x, n) = d et les nombres y tels que pgcd (y, n/d) = 1. Ainsi on a n = d n ϕ(n/d) = d/n ϕ(d)... Théorème chinois Théorème 4 (théorème chinois). Soient deux entiers p et q 1 et premiers entre eux. Alors les anneaux Z p Z q et Z pq sont isomorphes. Considérons l application π : Z Z p Z q qui à x Z associe (x mod (p), x mod (q)). C est un homomorphisme d anneau : π(x+y) = π(x)+ π(y) et π(xy) = π(x)π(y). Le noyau de π, i.e., l ensemble des x Z tels que π(x) = 0, i.e., tels que x = 0 mod (p) et x = 0 mod (q) n est autre que l ensemble des multiples de pq car p et q sont premiers entre eux. De plus, π est surjectif, car (1, 0) et (0, 1) sont dans π(z) : comme p et q sont premiers entre eux, il existe u et v dans Z tel que up + vq = 1. Donc π(vq) = (1, 0) et π(up) = (0, 1) ; si (n, m) Z p Z q (n {0,..., p 1} et m {0,..., q 1}) on a π(nvq + mup) = π(nvq) + π(mup) Ainsi, Z/pqZ = Z pq et Z p Z q sont isomorphes. = nπ(vq) + mπ(up) = n(1, 0) + m(0, 1) = (n, m).

31 30 CHAPITRE. THÉORIE DES NOMBRES En particulier, ils ont le même nombre d éléments inversibles pour la multiplication. Or (x, y) Z p Z q inversible, si et seulement si, x l est dans Z p et y dans Z q. Ainsi, Z pq est isomorphe à Z p Z q. Donc ϕ(pq) = ϕ(p)ϕ(q). On a prouvé le corollaire suivant. Corollaire 1. Si p et q sont premiers entre eux, alors ϕ(pq) = ϕ(p)ϕ(q) Comme pour p premier et pour tout entier α > 0, ϕ(p α ) = p α p α 1. On en déduit directement l autre corollaire suivant. Corollaire. Si n admet comme décomposition en facteurs premiers n = p α p α k k alors ϕ(n) = (p α 1 1 p α )...(p α k k pα k 1 k )..3 Déchiffrement RSA On a admit au chapitre précédent l identité qui est à la base du déchiffrement RSA via la clé secrète d du message chiffré M e. : M {0, 1,..., n 1}, M ed = M mod (n) dès que n = pq où p et q sont deux nombres premiers e {1,..., ϕ(n 1)} inversible modulo ϕ(n) et d inverse d appartenant à {1,..., ϕ(n 1)}. On rappelle que ed = 1 + kϕ(n) pour un certain entier positif k. Voici une preuve de cette identité. Si M et n sont premiers entre eux, alors par le théorème d Euler-Fermat M ϕ(n) = 1 mod (n). Ainsi M ed = M 1+kϕ(n) = M mod (n). Supposons maintenant que M et n ne soient pas premiers entre eux. Quitte a échanger les rôles de p et q, on a M = kp avec k {1,..., q 1}. Donc M est premier avec q. Ainsi, toujours via le théorème d Euler-Fermat, M ϕ(q) = 1 mod (q). Comme ϕ(n) = ϕ(p)ϕ(q) (p et q sont 1er entre eux), on en déduit que M ϕ(n) = M ϕ(p)ϕ(q) = 1 mod (q). Donc M ed = M 1+kϕ(n) = M mod (q). Par ailleurs, on a M = 0 mod (p), donc M ed = 0 mod (p). Ainsi l image par l homomorphisme d anneau π : Z Z p Z q de M et M ed sont les mêmes : π(m) = π(m ed ) = (0, M). Puisque π(m ed M) = 0, M ed M appartient au noyau de π qui n est autre que l ensemble des multiples de n = pq. Ainsi M ed = M mod (n).

32 .. LA FONCTION D EULER ϕ(n) Eléments primitifs Théorème 5 (élément primitif). Si p est premier alors, le groupe (Z p, ) est cyclique, i.e., il est de la forme Z p = {1, a, a,..., a p } où a Z p est appelé élément primitif (non nécessairement unique). Comme l anneau (Z p, +, ) est un corps commutatif, un polynôme de degré q à coefficients dans Z p admet aux plus q racines distinctes dans Z p (il peut en avoir moins). Soit x Z p. On note d son ordre, i.e., le plus petit entier d > 0 tel que x d = 1 mod (p). Le petit théorème de Fermat implique que d est bien défini et d p 1. On a même plus. Puisque x p 1 = 1 mod (p), on a, pour tout entier n, x p 1 nd = 1 mod (p). Donc nécessairement d divise p 1 (sinon, le reste r < d non nul de la division euclidienne de p 1 par d donnerait x r = 1 mod (p), ce qui est impossible par définition de d). On sait aussi, que les d éléments {1, x, x,..., x d 1 } sont distincts (sinon, x d 1 = x d avec 1 d 1 < d d 1 impliquerait que x d d 1 = 1 mod (p) avec 0 < d d 1 < d, en contradiction avec la définition de d). Les x i (i = 0,..., d 1) constituent les d racines distinctes du polynôme X d 1 dans Z p. De plus tout élément y Z p d ordre d est racine de X d 1 donc s écrit sous la forme d une puissance de x, y = x s avec un certain exposant s. Il est alors clair, puisque d est l ordre de y que y d = x sd = 1 mod (p) implique que s et d sont premiers entre eux. Ainsi, lorsque l ensemble des éléments d ordre d est non vide, il contient au plus ϕ(d) éléments, le nombre d entiers s plus petits que d et premiers avec lui. Notons maintenant N d le nombre des éléments d ordre d. Puisque tout élément de Z p est d ordre au plus p 1, on a p 1 N d = p 1. d=1 Maintenant comme N d = 0 si d ne divise pas p 1, on a N d = p 1. d (p 1) Mais on a vu que soit N d ϕ(d). Donc p 1 = N d ϕ(d) d (p 1) d (p 1)

33 3 CHAPITRE. THÉORIE DES NOMBRES avec une inégalité stricte si l un des N d vaut 0. Par le théorème d Euler on sait que ϕ(d) = p 1 d p 1 Donc nécessairement pour tout diviseur d de p 1 on a N d = ϕ(d). En particulier, N p 1 = ϕ(p 1) 1. Il existe donc au moins un élément de Z p d ordre p 1. Noter qu une bonne partie des raisonnements précédents sur les ordres ne font pas intervenir le fait que p soit premier...5 Théorème de Lucas Ce théorème permet de certifier la primalité d un nombre n dès que l on connaît la décomposition en facteurs premiers de n 1. Théorème 6 (Lucas). Le nombre n est premier, si et seulement si, il existe α Z n tel que α n 1 = 1 mod (n) et α n 1 p 1 mod (n) pour tout diviseur premier de n 1. Si n est premier alors il suffit de prendre pour α un élément primitif modulo n. Inversement, si un tel élément α existe alors il est forcément d ordre n 1 dans Z n. Ainsi #{1, α,..., α n } = n 1 et {1, α,..., α n } Z n. Or dans tous les cas #Z n n 1, donc ici #Z n = n 1, soit ϕ(n) = n 1. Cela signifie n premier (cf. corollaire )..3 Fonctions génératrices Voici ce qu écrit Jean Dieudonné dans son article sur la théorie analytique des nombres de l Encyclopeadia Universalis : Ce qu on appelle la théorie analytique des nombres ne peut pas être considéré comme une théorie mathématique au sens usuel qu on donne à ces mots, c est-à-dire un système organisé de définitions et de théorèmes généraux accompagné d applications à des exemples importants. Il s agit au contraire ici presque exclusivement de problèmes particuliers qui se posent en arithmétique et qui, pour la plupart, consistent à étudier l allure à l infini de certaines fonctions définies par des conditions de nature arithmétique : par exemple le nombre π(x) de nombres premiers p x ou le nombre U(n) des solutions de l équation (x 1 ) +(x ) = n en nombres entiers (x 1, x ). Depuis 1830, on a imaginé, pour résoudre ces questions, des méthodes d une extraordinaire ingéniosité qui consistent

34 .3. FONCTIONS GÉNÉRATRICES 33 à associer aux fonctions arithmétiques étudiées des fonctions analytiques auxquelles on peut appliquer la théorie de Cauchy ou l analyse harmonique ; mais, malgré les succès spectaculaires obtenus par ces méthodes, on ne peut dire que l on en comprenne vraiment les raisons profondes. Cependant, quelques exemples permettent de saisir tout l intérêt de la méthode et pourquoi les fonctions de variables complexes apparaissent naturellement. La méthode consiste à associer à une suite d entiers a n (définis par une construction arithmétique (nombre de solutions d une équation dépendant de n, cardinal d un certain ensemble d entiers plus petits que n,...)) une série formelle. Le plus simple est de considérer la série S(X) = n 0 a n X n mais il faut être souvent plus malin comme nous le verrons avec les nombres premiers p n. Suite à des manipulations astucieuses on propose une autre écriture de cette série que l on manipule alors avec les règles usuelles de calcul sur les fonctions de la variable complexe (dérivée, résidu, intégrale de Cauchy,...). Le but est très souvent d avoir des informations sur les a n, pour des grands indices n, informations souvent reliées aux singularités de la fonction analytique attachée à la série S. Prenons maintenant un exemple simple mais déjà non trivial. Supposons que a n soit le nombre de solutions en entiers 0 de l équation diophantienne à trois variables x + y + 3z = n. Alors nous allons voir que a n X n 1 = (1 X)(1 X )(1 X 3 ). n 0 En effet, pour X 1, On a Donc 1 (1 X)(1 X )(1 X 3 ) = 1 1 X = 1 + X + X + X ( i 1 0 X i 1 ) ( i 0 X i ) ( i 3 0 X 3i 3 En développement ce triple produit on voit que le terme X n apparaît autant de fois que le nombre de triplets (i 1, i, i 3 ) tels que i 1 + i + 3i 3 = n, i.e., a n. Maintenant pour calculer a n, il vaut mieux passer par la décomposition 1 en éléments simples de. Ainsi les nombres complexes apparaissent naturellement car les racines de X 3 = 1 sont 1, j = exp(ıπ/3) (1 X)(1 X )(1 X 3 ) et ).

35 34 CHAPITRE. THÉORIE DES NOMBRES j = exp( ıπ/3). Faisons ce petit calcul (avec l aide de Maple ou Mathematica) : 1 (1 X)(1 X )(1 X 3 ) = 1 6(1 X) (1 X) (1 X) 1 + 8(1 + X) + 1 9(1 jx) + 1 9(1 j X). Il suffit maintenant d utiliser la formule a n = dn S (0)/(n!) et de calculer dx n cette dérivée n-ième sur la décomposition en éléments simples. En utilisant l identité ( ) d n 1 = β n α(α + 1)...(α + n 1) dx n (1 βx) α on obtient X=0 a n = (n + 1)(n + ) 1 + n ( 1)n 8 + jn + j n. 9 Remarquons maintenant que si nous nous intéressons à une estimation de a n pour n grand, il suffit de considérer le pôle de degré le plus élevé X = 1, les autres donnant des contributions en n au plus. Ainsi, la structure des singularités de S(X), i.e., de ces pôles, donnent les asymptotiques de a n pour n grand. Ce phénomène est très général comme le montre l exercice suivant. Exercice Soient r entiers > 0, q 1,..., q r, sans diviseurs communs autre que 1. Notons a n le nombre de solutions en entiers 0 (x 1,..., x r ) de l équation diophantienne q 1 x q r x r = n n Montrer que a n r 1 q 1...q r(r 1)!. On utilisera le fait que la série génératrice 1 a en X = 1 son pôle de plus haut degré. (1 X q 1 )...(1 X qr ) Voici un autre exemple donné par Jacobi à l aide de sa théorie des fonctions elliptiques. Le problème consiste à chercher le nombre de solutions a n en nombres entiers (positifs ou négatifs) d une équation à r inconnues : x x r = n Ce nombre a n est le coefficient de X n dans la série de (F (X)) r où F (X) = m Z X m.

36 .4. LA FONCTION ZÊTA 35 Cette série converge pour X C de module plus petit que 1. Enfin un dernier exemple où a n = p(n) est la fonction de partition. Le nombre de partitions p(n) d un entier n 0 est par définition le nombre de solutions en entiers x i 0 de x 1 + x mx m +... = n où le nombre d inconnues m n est pas limité (pour un n donné, il est clair que x m = 0 dès que m > n). p(n) se définit aussi comme le nombre des classes d équivalence des partitions d un ensemble de n éléments, lorsque l on range dans une même classe deux partitions qui se déduisent l une de l autre par une permutation des n éléments. La série génératrice, convergente pour X < 1, est donnée par : S(X) = p(n)x n = n=0 (1 X m ) 1. Pour s en convaincre, il suffit d écrire chaque 1/(1 X m ) comme la série 1 + X m + X m +... et de développer le produit. L idée est alors d exprimer le coefficient p(n) à l aide de la formule de Cauchy p(n) = 1 ıπ C m=1 S(z) dz zn+1 où C est un cercle de centre O et de rayon R inférieur à 1. Le problème est d évaluer cette intégrale lorsque R tend vers 1. Cela permet d obtenir l asymptotique suivante (résultat du à Hardy et Ramanujan) pour n tendant vers l infini. p(n) 1 4 3n exp.4 La fonction zêta ( π ) n Le reste du chapitre est maintenant consacré à l ensemble P des nombres premiers. On note (p n ) n 1 les nombres premiers rangés par ordre croissant : p 1 =, p = 3, p 3 = 5, p 4 = 7,... Pour abréger, on note souvent p P h(p) la somme suivante n 1 h(p n) où h(p) est une fonction donnée de p. De même pour les produits : p P h(p) = n 1 h(p n). 3

37 36 CHAPITRE. THÉORIE DES NOMBRES Voyons comment Euler a codé la suite des p n dans une fonction de la variable complexe s. Pour R(s) > 1, il est facile de voir que la série suivante est absolument convergente et définit la fonction ζ de Riemann : ζ(s) = + n=1 1 n s. Le lien entre ζ et les nombres premiers vient du calcul suivant du à Euler : = ( p + 1 p P p s p + 1 ) s p3s s p P En développant ce produit infini, nous voyons qu il fait intervenir tous les produits d un nombre fini de puissances de 1 de la forme p s 1 p α 1s p α ks k pour k entier et α i entier et p i premier. Chacun de ces produits finis correspond à 1/n s où n est l unique entier dont la décomposition en facteurs premiers est n = p α p α k. Ainsi, on voit que k ζ(s) = p P p s. C est maintenant en jouant sur les deux formes de ζ, la série de Dirichlet 1/n s et le produit eulérien 1/(1 1/p s ), que l on obtient des informations sur les grands nombres premiers. En y regardant de plus près, il est facile de voir que les manipulations formelles ci-dessus sont parfaitement justifiées dès que R(s) > 1, car alors toutes les séries et produits infinis sont absolument convergents. Dans un premier temps, il suffit pour s en convaincre facilement de prendre s réel > 1. Dès 1737, Euler avait utilisé ζ comme fonction de la variable réelle s pour étudier la suite p n. L équivalent π(x) x/ log(x), le nombre de p n plus petits que l entier x, avait été conjecturé par Gauss et Legendre à la fin du XVIIIème siécle. Il a fallut cependant attendre le milieu du XIXème siècle pour que Tschebyschef établisse par des moyens arithmétiques élémentaires qu il existe deux constantes A et B, 0 < A < 1 < B telles que, pour x assez grand A x log(x) < π(x) < B x log(x). Ce n est qu en 1896 que Hadamard et de la Vallée-Poussin démontrèrent indépendamment le théorème sur des nombres premiers, i.e., le fait que

38 .4. LA FONCTION ZÊTA 37 π(x) x/ log(x) lorsque x +. Pour cela, ils se sont fortement appuyés sur le célèbre article de Riemann [15] qui montrait que ζ admettait un prolongement méromorphe pour s C et aussi qui mettait en évidence de façon largement conjecturale le lien entre la distribution des zéros de ζ et celle des nombres premiers. Rappelons enfin la relation entre la fonction ζ et la fonction entière ξ qui code les zéros non triviaux ρ n de ζ et dont on pense (hypothèse de Riemann) qu ils sont sur l axe R = 1/ (R(ρ n ) = 1/, pour tout n) : ξ(s) = Π(s/)(s 1)π s/ ζ(s) avec Π(s) = Γ(s + 1) = + 0 exp( x)x s dx et ξ(s) = ξ(0) 1 ( 1 s ). ρ n.4.1 Répartition des nombres premiers Théorème 7 (théorème des nombres premiers). On note π(x), le nombre des entiers premiers et plus petits que x > 0. Alors, lorsque x tend vers +, π(x) x/ log(x). Ceci est équivalent à dire que p n n log(n) lorsque n tend vers +. Nous n allons pas donner ici de démonstration rigoureuse de ce théorème car elle déborde largement du cadre de ce cours (voir, e.g., [0, 8, 9]). Cependant, nous allons donner un argument heuristique emprunté à [9], c est-àdire, non rigoureux mais suggestif en utilisant la fonction ζ(s) comme produit eulérien (1 1/p s n) 1 pour s > 1 réel tendant vers 1. En prenant le log on a : n 1 1/n s = ζ(s) = n 1 log(ζ(s)) = n 1 log(1 1/p s n) Mais Donc y [0, 1/], y log(1 y) y + y. 1 p s n 1 n log(ζ(s)) n 1 1 p s n + n 1 1. p s n

39 38 CHAPITRE. THÉORIE DES NOMBRES Ainsi, 0 log(ζ(s)) n 1 1 p s n n 1 1 p s n. Mais, pour s 1, 1 n 1 1 p s n n 1 = π. Donc, quand s n 6 1+, log(ζ(s)) 1 n 1 reste borné. Comme lim p s s 1 + ζ(s) = + (la série 1/n n diverge) on voit que nécessairement la série, 1/p n est aussi divergente. Ainsi, nous voyons sans beaucoup d effort qu il n existe pas de constantes A et ɛ > 0 telles que p n An 1+ɛ pour tout n. Comme chacun des termes du produit est plus grand que 1, on a pour tout entier N, ζ(s) (1 1/p s n) 1. p n N Avec (1 1/p s n) 1 = k 0 1/pks n on voit que (1 1/p s n) 1 = p n N n E N 1/n s où E N est l ensemble des entiers dont les diviseurs premiers sont tous inférieurs à N. Il est clair que E N contient au moins {1,..., N}. Cela suggère que 1 n N 1/n et p (1 1/p n N n) 1 sont similaires pour N grand. Comme ( ) log 1/n = log(log(n)) + O(1) 1 n N et (utiliser y log(1 y) y + y pour 0 y 1/), ( ) log (1 1/p n ) 1 = 1/p n + O(1) cela nous suggère que p n N p n N p n N 1/p n log(log(n)) (N + ). Si n est premier alors π(n) π(n 1) = 1, sinon π(n) π(n 1) = 0. Donc 1/p n = (π(n + 1) π(n))/n p n N 1 n N En réorganisant cette somme et comme π(n + 1) N, on voit que 1/p n = π(n)/(n(n + 1)) + O(1). p n N 1 n N 1

40 .4. LA FONCTION ZÊTA 39 Mais aussi on a (comparer avec N dx/(x log(x))) log(log(n)) = 1/(n log(n) + O(1). n N 1 Ainsi il est tentant de conjecturer que π(n)/(n(n + 1)) 1/(n log(n) soit π(n) n/ log(n). Dans ce qui précède, le seul résultat rigoureusement prouvé est la divergence de la série 1/p n. Nous allons voir que des arguments similaires sont à la base du théorème de la progression arithmétique..4. Le théorème de la progression arithmétique Le résultat suivant est dû à Dirichlet. Théorème 8 (progression arithmétique). Soient a et m des entiers strictement positifs et premiers entre eux. Il existe une infinité de nombres premiers de la forme a + km avec k entier positif. Remarquons d abord que, si a et m ne sont pas premiers entre eux, tous les nombres de la forme a + km sont composés. En fait ce théorème admet une formulation nettement plus précise : les nombres premiers se distribuent uniformément parmi les ϕ(m) classes associées aux nombres a plus petits que m et premiers avec lui. Autrement dit, si on note π a (x) le nombre d entiers premiers plus petits que x et de la forme a + km, alors on a l asymptotique suivante pour x + : π a (x) 1 ϕ(m) π(x) = x ϕ(m) log(x). Ainsi, on comprend mieux à travers ce résultat la philosophie générale sous-jacente à de nombreuses conjectures sur les nombres premiers : tout ce qui n est pas trivialement interdit est en fait réalisé. Citons pour mémoire les conjectures suivantes : nombres premiers jumeaux : il existe une infinité de nombres premiers p tels que p + soit aussi premier. nombres premiers cousins : il existe une infinité de nombres premiers p tels que p + 4 et p + 6 soient aussi premiers. C. Goldbach, un contemporain d Euler, avait émis en 174 la conjecture que tout entier pair est somme de deux nombres premiers et tout entier impair somme de trois nombres premiers.

41 40 CHAPITRE. THÉORIE DES NOMBRES Exercice Pourquoi dans la conjecture des nombres cousins on ne prend pas p, p + et p + 4? Revenons au théorème de la progression arithmétique et supposons pour simplifier que m = 4. Alors, nous n avons que deux valeurs possibles pour a : 1 ou 3. Soient les deux fonctions χ 0 et χ de N vers { 1, 0, 1} définies par { 1 si n = 1 ou 3 mod (4) 1 si n = 1 mod (4) χ 0 (n) =, χ 1 (n) = 1 si n = 3 mod (4) 0 sinon 0 sinon Ainsi χ 0 et χ 1 sont périodiques (période 4) et multiplicatives, i.e., χ 0 (nm) = χ 0 (n)χ 0 (m) et χ 1 (nm) = χ 1 (n)χ 1 (m) pour tout couple d entiers (n, m). Cette propriété est essentielle pour associer à chacune de ces fonctions multiplicatives une série de Dirichlet qui s exprime sous la forme d un produit eulérien. On pose ζ 0 (s) = χ 0 (n), ζ n s 1 (s) = χ 1 (n),. n s n 1 n 1 Considérons maintenant les produits suivants : 1, p P 1 χ 0(p) p s 1. p P 1 χ 1(p) p s Comme (on utilise le fait que (χ 0 (p)) k = χ 0 (p k )) 1 1 χ 0(p) p s = 1 + χ 0(p) + χ 0(p ) + χ 0(p 3 ) p s p s p 3s et idem pour χ 1, on voit en développant ces produits que ζ 0 (s) = 1, ζ p P 1 χ 0(p) 1 (s) = p s p P 1. 1 χ 1(p) p s Tous ces calculs portent sur des séries absolument convergentes lorsque R(s) > 1. Ainsi, pour R(s) > 1, ζ 0 et ζ 1 ne peuvent pas s annuler (prendre le produit). On peut donc en prendre le log. Alors on a les relations suivantes log(ζ 0 ) = p P χ 0 (p) + h p s 0 (s), log(ζ 1 ) = χ 1 (p) + h p s 1 (s) p P où les fonctions h 0 et h 1 sont des fonctions régulières de s définies autour de s = 1. En effet log(1 y) s écrit toujours sous la forme de y + w(y)y pour

42 .4. LA FONCTION ZÊTA 41 y de module inférieur à 1/ et où w(y) est une fonction analytique de y et bornée sur le disque de rayon 1/. Donc ( log 1 χ ) 0(p) = χ 0 (p) + ( ) χ0 (p) χ0 (p ) w p s p s p s p s p P p P p P la seconde somme définissant h 0 (s) étant absolument convergente dès que s > 1/ (idem pour χ 1 (s) avec h 1 (s)). Regardons maintenant de plus près l allure des fonctions ζ 0 et ζ 1. On a ζ 0 (s) = k 0 ( 1 (4k + 1) + 1 s (4k + 3) s Ainsi, lorsque s est réel et tend vers 1 par valeur supérieur, ζ 0 (s) tend vers +. Par contre ζ 1 reste borné autour de s = 1 car ζ 1 (s) = ( ) 1 (4k + 1) 1 s (4k + 3) s k 0 1 où 1 s est équivalent lorsque k tend vers l infini à. De (4k+1) s (4k+3) s s+1 k s+1 plus chaque terme est strictement positif, donc ζ 1 (1) = k 0 > 0. (4k+1)(4k+3) Notons maintenant Ainsi P 1 (s) = p P p = 1 mod(4) 1 p s, P 3(s) = log(ζ 0 (s)) = P 1 (s) + P 3 (s) + h 0 (s) log(ζ 1 (s)) = P 1 (s) P 3 (s) + h 1 (s) ). p P p = 3 mod(4) Comme, ζ 1 (s), h 0 et h 1 sont régulières en s = 1, ζ 1 (1) > 0 et lim s 1 + ζ 0 (s) = + on en déduit nécessairement que lim s 1 + P 1 (s) = + et lim s 1 + P 3 (s) = +. Ainsi, chacune des deux séries p P p = 1 mod(4) 1 p, p P p = 3 mod(4) diverge et donc comporte un nombre infini de termes. Nous avons ainsi montrer le théorème de la progression arithmétique pour a = 1, 3 et m = 4. 1 p. 1 p s.

43 4 CHAPITRE. THÉORIE DES NOMBRES La méthode que nous avons utilisée est en fait général. Donnons en une brève esquisse. Pour un entier m > on a en fait ϕ(m) choix possibles pour a, soit a Z m. Sur le groupe multiplicatif Z m on définit l analogue des fonctions χ 0 et χ 1, en fait ϕ(m) fonctions χ 0,..., χ ϕ(m) 1 fonctions multiplicatives distinctes mais à valeurs dans le cercle unité (les nombres complexes de module 1) : ce sont les caractères de Dirichlet. On note toujours le caractère trivial égal à 1 sur Z m par χ 0. Les autres caractères χ k, k = 1,..., ϕ(m) 1 se distinguent de χ 0 par le fait que χ k (a) = 0 Ainsi, les séries de Dirichlet a Z n ζ k (t) = n 1 χ k (n) n s sont très différentes autour de s = 1 de la série ζ 0 associée à χ 0. Contrairement à ζ 0 qui diverge en s = 1, ces séries ζ k sont des séries alternées (utiliser le critère d Abel) et ainsi convergent en s = 1. Maintenant, chaque ζ j s exprime comme un produit eulérien. Ainsi, après des manipulations (utilisant log(1 y) = y + w(y)y ), on obtient les ϕ(m) formules suivantes log(ζ j ) = p P χ j (p) p s + h j (s), où h j est une fonction régulière de s définie autour de s = 1. Maintenant, on pose, pour a Z m, 1 P a (s) = p. s p P p = a mod(m) Alors on a log(ζ j (s)) = h j (s) + a Z n χ j (a)p a (s). Des calculs simples sur les caractères montrent que la matrice ϕ(m) ϕ(m) d éléments (χ j (a)) pour 0 j ϕ(m) 1 et a Z m est inversible, d inverse sa conjuguée (hermitienne) divisée par ϕ(m). Ainsi on voit que les P a (s) s expriment comme des combinaisons linéaires à coefficients non nuls des log(ζ j ) et des h j. Maintenant, la partie dure de la preuve est de montrer qu aucune des valeurs prises en s = 1 par les ζ k (k {1,..., ϕ(m) 1}) n est

44 .4. LA FONCTION ZÊTA 43 nulle. Comme ζ 0 (s) est la seule à diverger en s = 1, on en déduit alors que chacun des P a (s) diverge en s = 1. Et donc {p P p = a mod (m)} est infini pour tout a Z m. On comprend un peu mieux pourquoi la localisation des zéros des fonctions de Dirichlet ζ j est si importante. La conjecture de Riemann généralisée affirme que les zéros (à partie réelle positive) des ζ j se situent tous sur la droite parallèle à l axe imaginaire R(s) = 1/.

45 44 CHAPITRE. THÉORIE DES NOMBRES

46 Chapitre 3 Information et calculs quantiques Pour rédiger ce chapitre, nous avons utilisé les références suivantes : [4], un livre très pédagogique sur l informatique quantique. [5], un cours très actuel et bien adapté à des élèves passés par les classes préparatoires. [1], un excellent livre, accessible à partir de [1, 5], sur des expériences récentes réalisant diverses manipulations et opérations sur des systèmes quantiques simples et fondamentaux de type spin/ressort ( spin/spring systems ). Les notes de cours de Serge Haroche au Collège de France et en particulier celles de l année sur l introduction au calcul quantique : Mécanique quantique Bra, Ket, états purs et états mixtes Nous rappelons ici quelques notions de base de mécanique quantique. Nous renvoyons vers [5, 11] où toutes ces notions sont expliquées en détail. Bra et Ket sont des co-vecteurs et des vecteurs. L état pur d un système quantique est décrit par un vecteur unitaire ψ appartenant à un espace vectoriel hilbertien de dimension finie ou infinie H. On appelle aussi ψ fonction d onde. Considérons pour simplifier que H est de dimension finie d > 0. Soit ( n ) 1 n d une base hilbertienne de H. Il s agit simplement d une 45

47 46 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES base orthonormée. Soient deux fonctions d onde ψ et φ d d ψ = ψ n n, φ = φ n n n=1 n=1 où ψ n, φ n C. Comme ψ et φ sont de longueur 1, on a 1 = n ψ n, 1 = n φ n. Ainsi ψ et φ sont représentées dans la base ( n ) par deux matrices d 1 : ψ 1 ψ. ψ d, φ φ 1. φ d. Le symbole correspond à la transposition hermitienne. Comme ψ = ψ et φ = φ sont des co-vecteurs (éléments du dual de H), ils sont représentés par des matrices 1 d : ψ (ψ 1,..., ψ d), φ (φ 1,..., φ d). où est la conjugaison complexe que l on peut aussi noter. Ainsi ψ 1 ψ ψ = ψ ψ = (ψ1,..., ψd). ψ d, = n de même pour φ. Le produit hermitien est caractérisé par φ 1 ψ φ = ψ φ = (ψ1,..., ψd). φ d = n ψ n = 1 ψ nφ n. Noter que ψ φ = φ ψ. L intérêt des notations de Dirac vient en autre du calcul suivant : le projecteur orthogonal P sur le sous espace vectoriel de base orthonormée les p vecteurs ( ψ 1,..., ψ p ) s écrit P = k ψ k ψ k.

48 3.1. MÉCANIQUE QUANTIQUE 47 En effet P φ = k ψ k φ ψ k. Il est instructif de vérifier que P = P découle simplement du fait que ψ k ψ k = δ k,k. Lorsque l on considère des états quantiques qui sont des mélanges statistiques d états quantiques purs, il convient de les décrire par l opérateur densité (matrice densité). Il n est pas possible de faire simplement des moyennes avec des vecteurs sur la sphère unité de H. Pour s en convaincre, il suffit de prendre H = C et les trois fonctions d ondes ψ k = cos(kπ/3) 1 + sin(kπ/3), k = 0, 1, chacune équiprobable de probabilité 1/3. Comme k ψ k = 0, une simple moyenne ne permet pas d attribuer une fonction d onde à ce mélange statistique. Pour représenter un tel mélange statistique, il convient de faire des moyennes sur les projecteurs orthogonaux ψ k ψ k associés aux états quantiques ψ k. Ainsi on considère l opérateur hermitien ρ (ρ = ρ) défini par ρ = 1 3 ( ψ 1 ψ 1 + ψ ψ + ψ 3 ψ 3 ). Il s agit de l opérateur densité. C est l analogue quantique d une mesure de probabilité. Un simple calcul montre qu ici ρ = I/3 où I = est l opérateur identité : I ψ ψ. Plus généralement, un état quantique mixte est décrit par ρ, l opérateur densité : il s agit d un opérateur hermitien de H dans H, ρ = ρ, semi-défini positif ρ 0 ( ψ, ψ ρ ψ 0) et de trace 1. On note généralement par D l ensemble de tous les opérateurs densité possibles : D = { ρ L(H, H) ρ = ρ, ρ 0, Tr (ρ) = 1 } (L(H, H) désigne l ensemble des applications linéaires de H and H). Ainsi ρ est diagonalisable en base orthonormée. Ses valeurs propres p n sont dans [0, 1]. Supposons les p n toutes distinctes : on dit que le spectre de ρ est non dégénéré. Notons ψ n un vecteur propre associé à p n et de longueur 1. Alors on a ρ = p n ψ n ψ n, Tr (ρ) = 1 = p n. n n Ainsi chaque p n peut être vu comme la probabilité pour que l état du système soit ψ n. Noter que chaque ψ n est défini à une phase globale prés : ψ n et ψ n = e iθn ψ n, θ n R arbitraire, correspondent au même état quantique, i.e. au même ρ : p n ψ n ψ n = ρ = p n ψn ψn. n n Si le spectre de ρ est dégénéré alors la somme sur n se réduit aux p n distincts. Chaque projecteur ψ n ψ n de rang 1 est remplacé par le projecteur

49 48 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES orthogonal P n sur l espace propre associé à la valeur propre p n. Si p n est de multiplicité s n alors l espace propre associé est de dimension s n, le rang du projecteur P n. Un calcul élémentaire montre que Tr (ρ ) 1. Si Tr (ρ ) = 1 alors ρ est de rang 1 : ρ est dans ce cas un état pur φ φ où φ est la fonction d onde de cet état pur Opérateurs hermitiens, unitaires et équation différentielle de Schrödinger Un opérateur hermitien H est un opérateur auto-adjoint pour le produit scalaire hermitien. L opérateur densité ρ est donc hermitien. Pour un système à d états, dim H = d, avec une base orthonormée, ( n ) n=1,...,d, est associé à l opérateur H la matrice hermitienne (H n,n ) 1 n,n d avec H n,n = n H n C : H = n,n H n,n n n, H = H signifie que n, n, H n,n = H n,n où est la conjugaison complexe. Comme H est diagonalisable en base orthonormée, on a H = V V où V est une matrice unitaire V V = V V = I et = diag(h 1,..., h d ) une matrice diagonale formée avec les valeurs propres réelles h 1,..., h d de H, comptées avec leur multiplicités éventuelles. Pour toutes fonctions R x f(x) R, on définit l opérateur hermitien f(h) par la formule f(h) = V f( )V où f( ) = diag(f(h 1 ),..., f(h d )). Lorsque f(x) = k f kx k est un polynôme ou une fonction entière comme cos(x), e x, on retrouve le calcul usuel f(h) = k f kh k avec une somme absolument convergente. L évolution au cours du temps d un état quantique ψ est donnée par l équation différentielle de Schrödinger ( constante de Planck) d ψ = dt ı H ψ équation entièrement caractérisée par l opérateur auto-adjoint H dit hamiltonien du système (H = H ). Ce dernier peut dépendre du temps. Dans toute la suite est pris égale à l unité et les éléments de H seront homogènes à des pulsations. Ainsi l évolution du système d état pur ψ t sera décrite par (ı = 1 C) : d dt ψ t = ıh(t) ψ t avec la condition initiale ψ t=0 H.

50 3.1. MÉCANIQUE QUANTIQUE 49 Lorsque H ne dépend pas du temps, la résolution de l équation de Schrödinger se ramène à la diagonalisation de H. On note n, n = 1,..., d, une base orthonormée de vecteurs propres de H associés aux valeurs propres, h n, n = 1,..., d. Avec ψ t = n ψ n(t) n où ψ n C et n ψ n = 1, la solution de d ψ = ıh ψ s écrit dt ψ t = n ψ n (0)e ıhnt n. Lorsque H dépend du temps, il n est plus possible de faire ainsi. On utilise en général des développements asymptotiques pour calculer des solutions approchées (cf. la sous-section 3..4 sur la manipulation d un qubit et les oscillations de Rabi). On utilise aussi des simulations numériques. Cependant, il est important de remarquer que l évolution, selon l équation de Schrödinger, préserve le produit hermitien. En effet, soient ψ et φ deux solutions de la même équation de Schrödinger : alors d d ψ = ıh ψ, dt d dt ψ φ = d dt ( ψ ) φ + ψ d dt ( φ ) φ = ıh φ dt = ( ıh ψ ) φ + ψ ( ıh φ ) = (ı ψ H) φ ı ψ (H φ ) = 0. Ce calcul est valable même si H dépend du temps. Ainsi ψ φ 0 = ψ φ t pour tout t > 0. Donc l évolution selon l équation de Schrödinger préserve le produit hermitien. Il s agit d une évolution unitaire. Cette évolution unitaire se traduit par l équation du propagateur U(t), opérateur linéaire de H dans H, solution de l équation différentielle matricielle suivante d U(t) = ıh(t)u(t), dt U(0) = I où I est la matrice identité. Comme d dt (UU ) = d (U U) = 0, U(t) est une dt matrice inversible dont l inverse est sa conjuguée hermitienne UU = U U = I : c est un opérateur unitaire. On note U(d) le groupe des matrices unitaires d d. La solution de d dt ψ t = ıh(t) ψ t, ψ t=0 = ψ 0 est alors ψ t = U(t) ψ 0. Ainsi U est le propagateur associé à l équation de Schrödinger. C est une application linéaire qui préserve le produit hermitien.

51 50 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES Lorsque H est indépendant du temps, on a U(t) = e ıht. On retrouve alors le fait que l exponentielle d une matrice anti-hermitienne (ıh) = ıh est une matrice unitaire. Lorsque la trace de H(t) est nulle à chaque instant, alors det U(t) 1 car la formule de Liouville donne d det U = ıtr (H(t)) det U = 0 dt et donc U SU(d), le sous-groupe des matrices unitaires d d et de déterminant 1. L équation de Schrödinger d dt ψ t = ıh(t) ψ t donne l évolution du système fermé d état pur initial ψ t=0 = φ. En terme de matrice densité ρ(t) = ψ ψ t on voit que ρ(0) = φ φ, ρ(t) = U(t)ρ(0)U (t), d ρ(t) = ı[h(t), ρ(t)] dt où [H, ρ] = Hρ ρh est le commutateur de H avec ρ. Si la condition initiale est un mélange statistique ρ 0 = k p k φ k φ k où k p k = 1 et chaque φ k de longueur 1 avec d dt ψ k t = ıh(t) ψ k t, ψ k t=0 = φ k alors ρ(t) = k p k ψ k ψ k t est la solution de l équation différentielle matricielle (équation de Liouville) pour l opérateur densité d ρ = i[h(t), ρ(t)], ρ(0) D. dt Il est alors direct de montrer que ρ(t) D pour tout t > 0 et que son spectre reste constant. En effet, ρ(t) et ρ(0) sont deux opérateurs semblables : ρ(t)u(t) = U(t)ρ(0) avec U 1 (t) = U (t) Mesures et réduction du paquet d ondes A chaque mesure est attachée un opérateur auto-adjoint M. On parle aussi de l observable M. Nous supposons toujours que l espace de Hilbert est de dimension finie d. On considère la décomposition spectrale de M : M = d n =1 m n P n où le spectre de M est donné par les d ( d) valeurs réelles distinctes m n et où P n est le projecteur orthogonal sur l espace propre associé à m n.

52 3.1. MÉCANIQUE QUANTIQUE 51 Lorsque d = d, toutes les valeurs propres de M sont distinctes. On parle de spectre non dégénéré et alors M = d n=1 m n n n où n est le vecteur propre unitaire associé à m n. n est défini à un complexe de module 1 près, i.e., à une phase près. On suppose ici que le processus de mesure est instantané. La mesure individuelle de l état ψ donne alors m n avec la probabilité ψ P n ψ = Tr (P n ρ) avec ρ = ψ ψ. Si le résultat observé est m n, alors, juste après la mesure, l état quantique n est plus ψ mais devient (réduction du paquet d ondes) ψ + = P n ψ ψ Pn ψ. On notera que ψ P n ψ ne peut pas être nul puisque le résultat observé est m n. Pour l opérateur densité ρ cette réduction du paquet d ondes associée au résultat m n s écrit ρ + = P n ρp n Tr (P n ρ). On remarque que cette formule s étend pour tout ρ D et que ρ + reste bien dans D : cette formule est aussi valable pour un mélange statique, i.e., lorsque le rang de ρ excède 1. La mesure répétée un grand nombre de fois du même état quantique pur ψ ou mixte ρ donne comme moyenne M = Tr (Mρ) = d n =1 m n Tr (P n ρ) = d n =1 p n (ρ)m n où p n (ρ) = Tr (P n ρ) est la probabilité d obtenir la mesure m n. Comme n P n = I, on a ( ) Tr (ρ) = Tr ρ n P n = n Tr (P n ρ) = n p n (ρ) = 1. En résumé, chaque mesure individuelle de l état quantique, donne un nombre qui est l une des valeurs propres de M. Après chaque mesure individuelle, l état quantique est projeté orthogonalement (et renormalisé) sur l espace propre associé à la valeur propre correspondante à la mesure obtenue. Ainsi toute mesure secoue violemment le système. On parle alors de réduction du paquet d ondes : après la mesure ayant donnée comme résultat la valeur propre m n de M, les composantes de la fonction d onde selon les vecteurs propres associées aux m n avec n n sont mises à zéro. Si, juste après avoir obtenu m n, on mesure à nouveau M on obtient nécessairement de même résultat m n. En effet, l état quantique ρ + n a pas le temps d évoluer, p n (ρ + ) = 1 et ψ ++ = ψ + et ρ ++ = ρ +.

53 5 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES Systèmes composites et produit tensoriel Un système composite est formé à partir de plusieurs sous-systèmes. Son espace d états n est pas le produit cartésien des espaces d états de ses soussystèmes mais le produit tensoriel. C est une différence essentielle par rapport au cas classique. Soit donc un système composite formée de deux sous-systèmes (système bipartite) : l espace de Hilbert du premier sous-système est noté A et celui du second B. L espace d état du système complet est H = A B, le produit tensoriel de A et B. On construit la structure hilbertienne sur H à partir de celles sur A et B. Pour cela on prend une base hilbertienne ( n a ) 1 na da sur A et ( n b ) 1 nb d b sur B (d a, d b entiers > 0). Alors H est de dimension d a d b (et non d a + d b comme cela serait le cas si H était le produit cartésien de A et B) avec comme base hilbertienne ( n a n b ). On note souvent n a n b par n a, n b ou par n a n b. Toute fonction d onde ψ H s écrit ψ = n a,n b ψ na,n b n a n b = n a,n b ψ na,n b n a n b, ψ na,n b C. Le produit hermitien de ψ avec φ = n a,n b φ na,n b n a n b est défini par ψ φ = n a,n b ψ n a,n b φ na,n b. Cette définition est indépendante des bases orthonormées choisies sur A et B. Il est instructif de le montrer en utilisant des matrices unitaires quelconque U a U(d a ) et U b U(d b ) associées à tous les changements de bases orthonormées sur A et B. Un état ψ A B est dit intriqué entre A et B si, seulement si, il n existe pas de ψ a A et de ψ b B tels que ψ = ψ a ψ b. Pour un tel ψ, il n est pas possible de définir un état partiel et pur ni pour le sous-système A, ni pour le sous-système B. On parle aussi d état ψ non séparable entre A et B. C est un peu comme une fonction scalaire de deux variables f(x a, x b ) qui n est pas à variables séparables, i.e. de la forme f(x a, x b ) = f a (x a )f b (x b ). En général, une fonction scalaire de deux variables x a et x b n est pas la multiplication d une fonction scalaire de x a seul par une autre fonction scalaire de x b seul. Prenons maintenant un opérateur H a sur A et un opérateur H b sur B. Alors H a et H b se prolongent en opérateur sur H avec H a I b et I a H b (I a

54 3.. QUBIT ET N-QUBIT 53 et I b sont les opérateurs identité sur A et B) : (H a I b ) ψ = n a,n b ψ na,n b H a n a n b, (I a H b ) ψ = n a,n b ψ na,n b n a H b n b. Par abus de notations et quand il n y a pas de confusion possible, on ne rappelle pas le produit tensoriel avec les opérateurs identités : H a H a I b, H b I a H b. On peut aussi former l opérateur H a H b défini par (H a H b ) ψ = n a,n b ψ na,n b H a n a H b n b. 3. Qubit et n-qubit 3..1 Qubit : système à deux niveaux Pour un système à deux états, ψ H = C s écrit ψ = ψ g g + ψ e e avec ψ g, ψ e C et ( ) ( ) 1 0 g =, e =. 0 1 Les composantes de ψ sont des amplitudes complexes de probabilité et donc on a ψ g + ψ e = 1. Il est usuel de noter par g l état quantique dont l énergie est la plus base (g pour ground state ) et par e celui dont l énergie est la plus haute (e pour excited state ). Un système de spin 1 est un système à deux états. On parle aussi de qubit pour désigner un système à deux états, i.e., un système quantique décrit par un vecteur (un Ket) de dimension deux. Un qubit est donc représenté par ψ = ψ g g + ψ e e. Par convention, on note, en informatique quantique, 1 = g et 0 = e. Le conjugué hermitien d un Ket est un Bra : ψ = ψ = ψg g + ψe e. Le produit scalaire hermitien permet d assigner un nombre complexe à un Bra et un Ket : si ψ = ψ g g + ψ e e et si φ = φ g g + φ e e, alors ψ φ = ψ gφ g + ψ eφ e.

55 54 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES 3.. Matrices de Pauli Les matrices de Pauli sont des matrices hermitiennes définies par σ x = e g + g e, σ y = ı e g + ı g e, σ z = e e g g où g et e sont deux états quantiques orthogonaux ( g g = e e = 1 et g e = e g = 0). Elles anti-commutent deux à deux σ x σ y = σ y σ x, σ y σ z = σ z σ y, σ z σ x = σ x σ z, et vérifient les identités suivantes σ x = I, σ y = I, σ z = I, σ x σ y = ıσ z, σ y σ z = ıσ x, σ z σ x = ıσ y. où I désigne la matrice identité : I = g g + e e. Pour tout angle θ R on a e ıθσ ξ = cos θ I + ı sin θ σ ξ, pour ξ = x, y, z. Lorsqu il n y a pas d ambiguïté, on note aussi I par 1 et cos θi est remplacé par cos θ, ce qui donne la formule plus compacte : e ıθσ ξ = cos θ + ı sin θ σ ξ, pour ξ = x, y, z. Nous utiliserons souvent cette notation raccourcie par la suite. Ainsi la solution de l équation de Schrödinger (Ω R, H = Ωσ ξ, ξ = x, y, z) d dt ψ = ıω σ ξ ψ est ψ t = e ıωt σ ξ ψ 0 = ( cos ( ) ( Ωt ı sin Ωt ) ) σξ ψ 0. Pour α, β = x, y, z, α β on a les relations très utiles suivantes : σ α e ıθσ β = e ıθσ β σ α, ( e ıθσ α ) 1 = ( e ıθσ α ) = e ıθσ α et aussi, à cause de l anti-commutation σ α σ β = σ β σ α, e ıθ σα σ β e ıθ σα = e ıθσα σ β = σ β e ıθσα A chaque mesure est attachée un opérateur hermitien, dit aussi observable. Prenons un système à deux états g et e d énergies définies et distinctes. Supposons que l on mesure l énergie H = H g g g + H e e e où H g < H e et que l on dispose d un grand nombre N de systèmes ayant le même état quantique ψ = ψ g g + ψ e e. Pour chaque système pris individuellement on mesure H et on obtient soit

56 3.. QUBIT ET N-QUBIT H g et alors, juste après la mesure, le système est dans l état g ;. H e et alors, juste après la mesure, le système est dans l état e. On note N g (resp. N e ) le nombre de fois où l on a obtenu H g (resp. H e ). Alors, pour N grand, on a N g N ψ g, N e N ψ e (cohérent avec N = N g + N e et ψ g + ψ e = 1). La valeur moyenne de ces N mesures est donc ψ g H g + ψ e H e. C est pour cela que l on interprète les composantes de ψ comme des amplitudes de probabilités n-qubit Un n-qubit est un système composé de n fois le même qubit élémentaire. n fois {}}{ Son état appartient donc à H = C C... C, isomorphe à C n. C est très différent du produit cartésien qui donnerait alors C n. La base d un -qubit est ( g et e désignent les deux états de base du qubit élémentaire) g g = gg, g e = ge, e g = eg, e e = ee. La base d un 3-qubit est ggg, gge, geg, gee, egg, ege, eeg, eee. La mesure de σ z = g g + e e sur le premier qubit d un -qubit correspond à l opérateur M = σ z I. Sur le -qubit ψ = ψ gg gg + ψ ge ge + ψ eg eg + ψ ee ee la mesure de σ z sur le 1er qubit donne en moyenne ψ M ψ = ( ψ gg + ψ ge ) + ( ψ eg + ψ ee ) i.e., donne soit 1 avec une probabilité ψ gg + ψ ge, soit +1 avec une probabilité ψ eg + ψ ee. Si, juste avant la mesure de σ z sur le premier qubit, l état quantique est ψ = ψ gg gg + ψ ge ge + ψ eg eg + ψ ee ee, alors juste après la mesure (ici idéalisée comme une opération instantanée) l état quantique est ( ) soit ψgg gg +ψge ge = g ψ gg g +ψ ge e si la mesure est 1, ψgg + ψ ge ψgg + ψ ge

57 56 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES ( ) soit ψeg eg +ψee ee = e ψ eg g +ψ ee e si la mesure est +1 ψeg + ψ ee ψeg + ψ ee Ce type de mesure illustre la réduction ( collapse en anglais) du paquet d ondes, réduction associée au processus de mesure et sur laquelle repose l interprétation de Copenhague de la fonction d onde Complément : manipulation d un qubit Physique simplifiée du système Figure 3.1 Un système à deux états Soit le système à deux états de la figure 3.1. Typiquement, il s agit d un électron autour d un atome. Cet électron est soit dans l état fondamental g d énergie H g, soit dans l état excité e d énergie H e (H g < H e ). On ne regarde pas les autres niveaux d énergie possible. C est un peu comme pour les systèmes mécaniques flexibles où l on ne considère que deux modes de vibration : au lieu de considérer l équation aux dérivées partielles de Schrödinger qui décrit l évolution de la fonction d onde de l électron, on ne considère que ses composantes selon deux états propres, un état dit fondamental et un état dit excité. Comme nous verrons que les contrôles sont des contrôles proches de la résonance, une telle approximation est très naturelle (au moins pour un physicien). Ainsi, l état quantique est décrit par ψ C de longueur 1, ψ ψ = 1, qui est une superposition linéaire de l état fondamental g et de l état excité e, deux états orthogonaux, g e = 0 et de longueur 1, g g = e e = 1 : ψ = ψ g g + ψ e e avec ψ g, ψ e C les deux amplitudes complexes de probabilité. L état ψ dépend du temps. Pour ce système à deux niveaux, l équation de Schrödinger est alors une équation différentielle ordinaire d dt ψ = ıh ψ = ı(h g g g + H e e e ) ψ entièrement déterminée par H, l opérateur hamiltonien.

58 3.. QUBIT ET N-QUBIT 57 Comme l énergie est définie à une constante près, les hamiltoniens H et H + ω 0 (t) (avec ω 0 (t) R arbitraire et où ω 0 correspond à ω 0 I, I la matrice identité) décrivent le même système physique. Si ψ vérifie d ψ = ıh ψ dt alors χ = e ıθ0(t) ψ avec d θ dt 0 = ω 0 vérifie d χ = ı(h + ω dt 0) χ. Ainsi pour tout θ 0, ψ et e ıθ 0 ψ représentent le même système physique. La phase globale de l état quantique ψ peut être choisie arbitraire. Tout se passe comme si l on pouvait rajouter un contrôle ω 0 de la phase globale, ce contrôle étant choisi comme on le souhaite (degré de liberté de jauge associé au choix d origine pour l énergie). Ainsi, la famille à un paramètre d hamiltoniens ((H g + ω 0 ) g g + (H e + ω 0 ) e e ) ω0 R décrit le même système à deux niveaux. Il est alors naturel de prendre ω 0 = Hg+He et de poser Ω = H e H g, la pulsation des photons qui interviennent dans le passage entre l état fondamental et l état excité. C est la fréquence de la lumière émise par l électron lors de son passage de l état e à l état g (lumière observée en spectroscopie, qui est une signature de la différence d énergie et donc de l atome considéré). En résumé, pour le système isolé, la dynamique de ψ s écrit : Ainsi d dt ψ = ı Ω ( e e g g ) ψ. ψ t = ψ g0 e ıωt g + ψe0 e ıωt e. Il est usuel d utiliser les matrices de Pauli et en particulier σ z = e e g g. Comme σz = 1, on a e ıθσz = cos θ + ı sin θσ z (θ R) et une autre écriture de l évolution temporelle de ψ : ψ t = e ıωt σz ψ 0 = cos ( ) Ωt ψ 0 ı sin ( ) Ωt σz ψ 0. Supposons maintenant, le système en interaction avec un champ électromagnétique variable, décrit de façon classique par u(t) R (typiquement un laser éclairant l atome). Alors, l évolution de ψ est toujours donnée par une équation de Schrödinger mais avec un hamiltonien qui dépend du temps via le contrôle u(t). Très souvent, cet hamiltonien contrôlé admet la forme suivante (approximation dipolaire et grande longueur d onde par rapport à l espace occupé par l électron) : H(t) = Ω u(t) ( e e g g ) + ( e g + g e )

59 58 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES où u est homogène à une fréquence. L équation de Schrödinger d ψ = dt ıh ψ s écrit alors simplement ı d ( ) ( ) ( ) ( ) ( ) ψe 1 0 = dt ψ ıω ψe + ıu(t) 0 1 ψe. g 0 1 ψ g 1 0 ψ g A ce niveau il est très commode de faire intervenir les trois matrices de Pauli σ x = e g + g e, σ y = ı e g + ı g e, σ z = e e g g. Ainsi l hamiltonien contrôlé s écrit H = Ω σ z + u(t) σ x. Du fait que σ z et σ x ne commutent pas, on ne dispose pas de formule simple d pour la solution au problème de Cauchy, ψ = ıh(t) ψ, lorsque u(t) dt dépend effectivement du temps. Contrôle résonant et oscillations de Rabi d Dans l équation de Schrödinger, ψ = ı ( Ω σ dt z + uσ x) ψ, il est souvent impossible 1 d avoir u et Ω du même ordre de grandeur. Le contrôle est généralement très petit : u Ω. Dans ce cas, la seule façon de procéder consiste à rentrer en résonance avec le système en boucle ouverte, i.e., à choisir u oscillant avec une pulsation Ω L proche de Ω, un peu comme des enfants lorsqu ils apprennent à faire de la balançoire en donnant de très légères impulsions en phase avec les oscillations. On commence par faire un changement de variables, ψ = e ıωt σz φ, que les physiciens interprètent comme le passage dans le repère d interaction. Le but est d éliminer le terme en Ωσ z dans l hamiltonien (élimination du drift ). La dynamique de φ est : avec d dt φ = ıu e ıωt σz σ x e ıωt σz φ = H int φ H int = u eıωt σ + + u e ıωt σ l hamiltonien dans le repère d interaction et où σ + = e g = σ x + ıσ y, σ = g e = σ x ıσ y. 1. Sauf à utiliser des champs très intenses mais alors d autres phénomènes doivent être pris en compte.

60 3.. QUBIT ET N-QUBIT 59 Les opérateurs (non hermitiens) σ + et σ correspondent aux sauts quantiques de g vers e et de e vers g, respectivement. Il est alors logique de prendre un contrôle résonant de pulsation Ω u = ue ıωt + u e ıωt avec u amplitude complexe lentement variable et petite en module : d dt u Ω u, u Ω. Ainsi ı d dt φ = (( ) ( ) ) ue ıωt +u u+u σ + + e ıωt σ On voit donc que ce système est sous la forme standard du théorème de moyennisation, rappelé dans l appendice A avec comme petit paramètre ɛ = u. L approximation du premier ordre est appelée approximation du Ω champ tournant. Elle consiste simplement à négliger les termes oscillant à la pulsation Ω et de moyenne nulle. Ainsi φ vérifie, à des petits termes oscillant à la pulsation Ω, l équation moyenne : ı d dt φ = ( u σ + u σ +) φ. C est encore une équation de type Schrödinger mais avec l hamiltonien dit effectif H eff = uσ + u σ +. On suppose jusqu à la fin de cette sous-section u = ω r e ıθ avec ω r > 0 et θ réels et constants. Alors u σ + + uσ = ωr (cos θσ x + sin θσ y ) et le système oscille entre e et g avec la pulsation de Rabi ωr. En effet (cos θσ x + sin θσ y ) = I, donc e ıωrt (cos θσx+sin θσy) = cos ( ω rt φ ) ( ı sin ωrt ) (cos θσx + sin θσ y ), et la solution de d ıωr φ = (cos θσ dt x + sin θσ y ) φ est φ t = cos ( ω rt ) ( g ı sin ωrt ) e ıθ e, quand φ 0 = g, φ t = cos ( ω rt ) ( e ı sin ωrt ) e ıθ g, quand φ 0 = e, On part souvent de l état fondamental φ 0 = g et on prend une amplitude u = ıω r complexe constante sur [0, T ] (pulse de durée T ). Comme φ T = cos ( ω rt ) ( g + sin ωrt ) e, on voit que

61 60 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES si ω r T = π alors φ T = e et donc on bascule sur l état excité par absorption stimulée d un photon. Si on mesure l énergie dans cet état on trouve toujours H e. C est un pulse π. si ω r T = π/ alors φ T = ( g + e )/ et le système est dans une superposition cohérente de g et e. Si on mesure l énergie dans cet état, on trouve H g ou H e avec une probabilité de 1/ pour H g et H e. C est un pulse π/. Comme ψ = e ıωt σz φ, on voit qu un pulse π transfert ψ de g en t = 0 vers e ıα e en t = T = π ω r où la phase α Ω ω r π est très grande car ω r Ω. De façon similaire, une pulse π/, transfert ψ de g en t = 0 à e ıα g +e ıα e en t = T = π ω r avec une demie-phase relative α Ω ω r π très grande. Ainsi, ce type de pulse est bien adapté lorsque les états initiaux ψ 0 et finaux ψ T sont caractérisés par ψ g et ψ e où ces termes de phase disparaissent. On parle alors de populations puisque ψ g (resp. ψ e ) est la probabilité de trouver H g (resp. H e ) lorsque l on mesure l énergie du système isolé H 0 = H g g g + H e e e. Opérateur densité et sphère de Bloch On part de ψ qui vérifie d ψ = ıh ψ. On considère le projecteur dt orthogonal ρ = ψ ψ, dit opérateur densité. Alors ρ est un opérateur autoadjoint 0, vérifie Tr (ρ) = 1, ρ = ρ et obéit à l équation : d ρ = ı[h, ρ] dt où [, ] est le commutateur : [H, ρ] = Hρ ρh. Dans le passage de ψ au projecteur ρ on perd la phase globale, qui, on l a vu ci-dessus, n a pas de sens physique. En effet, pour toute phase θ, ψ et e ıθ ψ donnent le même projecteur ρ. Pour un système à deux niveaux ψ = ψ g g + ψ e e et on a En posant ψ ψ = ψ g g g + ψ g ψ e g e + ψ gψ e e g + ψ e e e. x = R(ψ g ψ e), y = I(ψ g ψ e), z = ψ e ψ g on obtient l écriture suivante ρ = I + xσ x + yσ y + zσ z.

62 3.3. OSCILLATEUR HARMONIQUE 61 Ainsi (x, y, z) R 3 s interprète comme les coordonnées dans une base orthonormée ( ı, j, k) d un vecteur M de R 3, dit vecteur de Bloch : M = x ı + y j + z k. Comme Tr (ρ ) = x + y + z = 1, M est de longueur unité. Il évolue sur la sphère unité, dite sphère de Bloch, selon d dt M = (u ı + Ω k) M, une autre écriture de d dt ρ = ı [ Ω σ z + u σ x, ρ ]. Ainsi u ı + Ω k est la vitesse instantanée de rotation. Cette interprétation géométrique de la dynamique de ψ sur la sphère de Bloch est très utilisée en résonance magnétique où le système à deux niveaux est alors un spin 1. La connaissance de M est équivalente à celle de ψ à une phase globale près. Lorsque l état quantique n est pas pur, alors x + y + z = Tr (ρ ) 1 et alors le vecteur M est à l intérieur de la sphère de Bloch. L équation de Schrödinger redonne la même équation différentielle pour M. 3.3 Oscillateur harmonique On trouvera dans [11] un exposé bien plus didactique. La formulation hamiltonienne d un oscillateur harmonique de pulsation ω, d x = ω x, est dt la suivante : d H x = ωp = dt p, d p = ωx = H dt x avec l hamiltonien classique H(x, p) = ω (p + x ). Le principe de correspondance donne directement la quantification suivante. l hamiltonien classique devient un opérateur, H, qui opère sur les fonctions de x R à valeurs complexes. L état classique (x, p) est alors remplacé par la fonction d onde ψ. C est une fonction de x et t : ψ(x, t) C. A chaque instant t, R x ψ(x, t) est mesurable et de carré sommable : R ψ(x, t) dx = 1. Ainsi pour tout t, ψ t L (R, C). L opérateur hamiltonien H est obtenu en remplaçant dans l hamiltonien classique H, x par l opérateur X, la multiplication par x et p par P = i x a, l opérateur de dérivation partielle par rapport à x à t fixé. Ainsi on H = ω(p + X ) = ω x + ω x.

63 6 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES L équation de Schrödinger d ψ = ıh ψ dt est alors une équation aux dérivées partielles qui définit ψ(x, t) en fonction de la condition initiale (ψ(x, 0)) x R : ı ψ t (x, t) = ω ψ x (x, t) + ω x ψ(x, t), x R. La position moyenne est donc et l impulsion moyenne X t = ψ X ψ = 1 P t = ψ P ψ = ı + + x ψ dx, ψ ψ x dx. Une simple intégration par partie montre que P t est bien réel. Il est très utile de considérer les opérateurs d annihilation et de création de photons a et a : ( a = X + ıp = 1 x + x ) (, a = X ıp = 1 x ). (3.1) x On a ) [X, P ] = ı I, [a, a ] = I, H = ω(p + X ) = ω (a a + 1 I où I est l opérateur identité. Usuellement on note aussi I par 1. Cela donne les expressions compactes : ( ) [X, P ] = ı, [a, a ] = 1, H = ω(p + X ) = ω a a + 1 Comme [a, a ] = 1, la décomposition spectrale de a a est simple et justifie la dénomination de a et de a. L opérateur hermitien a a admet N comme spectre non dégénéré. Le vecteur propre unitaire associé à la valeur propre n N est noté n : on l appelle état de Fock avec n quanta (des photons pour les ondes électro-magnétiques, des phonons pour des vibrations mécaniques). On a pour tout n > 0, a n = n n 1, a n = n + 1 n + 1.

64 3.3. OSCILLATEUR HARMONIQUE 63 L état fondamental 0 est caractérisé par a 0 = 0. Il correspond à la fonction gaussienne : ψ 0 (x) = 1 π 1/4 exp( x /). a (resp. a ) correspond à l opérateur d annigilation (resp. de création) car il envoie n sur n 1 (resp. n + 1 ) et donc diminue (resp. augmente) le nombre de quanta d une unité. On note N = a a l opérateur nombre de quanta car N n = n n et donc N = n n n n. On peut montrer que pour toute fonction f on a les relations de commutation suivante : af(n) = f(n + I)a, a f(n) = f(n I)a. Ainsi e iθn ae iθn = e iθ a et e iθn a e iθn = e iθ a. Pour chaque amplitude complexe α C, on considère l opérateur unitaire D α défini par D α = e α a α a (3.) appelé opérateur de déplacement de Glauber. On remarque que D 1 α = D α = D α. Une formule très utile est la suivante (formule de Glauber) : si deux opérateurs A et B commutent avec leur commutateur, i.e., si [A, [A, B]] = [B, [A, B]] = 0, alors on a e A+B = e A e B e 1 [A,B] (3.3) Comme c est le cas pour A = αa et B = α a, on a une autre expression de D α D α = e α e αa e α a = e + α e α a e αa. (3.4) Le terme déplacement vient de la propriété suivante, valable pour tout complexe α : D α ad α = a + α and D α a D α = a + α. (3.5) Un état cohérent d amplitude α, usuellement noté α, est défini par D α : α = D α 0 = e α + n=0 α n n! n. (3.6) La probabilité p n d obtenir n N lors d une mesure de N sur α suit une loi de Poison p n = e α α n /n!. L énergie moyenne de α est donnée par α N α = α.

65 64 CHAPITRE 3. INFORMATION ET CALCULS QUANTIQUES Il faut faire un peu attention avec ces notations très utilisées en optique quantique : pour α = n entier positive, l état cohérent d amplitude α et l état de Fock avec n photons, notés tous les deux α et n ne se correspondent que pour l état du vide quantique α = n = 0. L état cohérent d amplitude α C est le vecteur propre unitaire de a de valeur propre complexe α : a α = α α. Il est aussi facile de voir que, comme H = ω(n + 1 ), la solution de d dt ψ = ıh ψ, de condition initiale l état cohérent d amplitude α 0 C, ψ t=0 = α 0, reste un état cohérent d amplitude α t = e ıωt α 0 : ψ t = e ıωt/ α t. Ces états cohérents sont les états quantiques correspondant aux solutions de l équation de l oscillateur harmonique. En effet, comme d α dt t = ıωα t, on voit qu en posant α t = x+ip, avec (x, p) R on retrouve les deux équations d classiques sous forme hamiltonienne de l oscillateur harmonique : x = ωp, dt d p = ωx. dt 3.4 Mesures généralisées et trajectoires quantiques La boite à photons du LKB Serge Haroche a obtenu le prix Nobel de physique 01 pour toute une série d expériences sur l observation et la manipulation de photons. Dans son livre écrit avec Jean-Michel Raimond [1], il présente des expériences, conduites au laboratoire Kastler-Brossel (LKB) de l école normale supérieure de Paris, où des photons micro-ondes sont observés et manipulés sans les détruire. Nous décrivons ici très schématiquement l une de ces expériences. Le but est d illustrer pour mieux les comprendre, trois ingrédients spécifiques au monde quantique : 1. l équation différentielle linéaire de Schrödinger qui gouverne l évolution unitaire de la fonction d onde ;. l intrication due au fait que l espace de Hilbert d un système composite est le produit tensoriel des espaces de Hilbert attachés aux soussystèmes qui le composent ; 3. la réduction du paquet d ondes liée au processus de mesure.

66 3.4. MESURES GÉNÉRALISÉES ET TRAJECTOIRES QUANTIQUES 65 C R 1 R D B Figure 3. Schéma de l expérience du LKB qui observe des photons sans les détruire. Les photons piégés entre les deux miroirs de la cavité C sont mesurés avec des atomes (les petits anneaux couleur rose foncé) sortant de B. Les atomes traversent l un après l autre la cavité C. Ils sont manipulés individuellement avant et après leur passage dans la cavité dans R 1 et R. Ils sont mesurés par le détecteur D soit dans un état de basse énergie g soit dans un état de forte énergie e. Usuellement, un photo-détecteur est un capteur qui compte des photons tout en les détruisant. Les expériences du LKB ont montré qu il était possible de compter des photons un par un et sans les détruire. Nous allons ici décrire succinctement les principales étapes pour réaliser ce type de comptage non destructif. Ces photons correspondent aux états quantiques d un oscillateur harmonique. Cet oscillateur harmonique est obtenu après quantification d un mode du champ micro-onde piégé entre les deux miroirs supra-conducteurs de la cavité C, la zone en bleue claire et de dimension centimétrique sur la figure 3.. La fonction d onde de ces photons piégés dans C est notée ψ et H S = l (C) correspond aux suites complexes de carré sommable : { } H S = ψ = ψ n n (ψ n ) n=0 l (C), n=0 où n représente un état quantique d énergie parfaitement déterminée avec exactement n photons (état de Fock). Les n pour n N forment une base hilbertienne de H S : n n = δ n,n. La mesure porte uniquement sur les atomes qui traversent l un après l autre la cavité C. Ils sont mesurés en D. Pour analyser l effet de la mesure d un atome ayant traversé la cavité sur les photons dans la cavité, il est suffisant de le décrire par un système à deux niveaux, un niveau bas g et un niveau haut e. Ainsi l espace de Hilbert associé à un atome est simplement H M = C avec comme base orthonormée ( g, e ). Quand un atome sort de B (cf. figure 3.) il est toujours dans l état g. Les atomes se succèdent au rythme d un atome par